随着我们深入研究KubeClarity 的供应链安全功能系列,我们深入研究了 KubeClarity 的各个方面,包括SBOM(软件物料清单)集成和漏洞扫描。现在,是时候仔细研究一下运行时扫描了。这篇文章将探讨 KubeClarity 运行时扫描功能的广泛功能。
了解 KubeClarity 运行时扫描功能
图 1:了解 KubeClarity 运行时扫描功能
KubeClarity 的运行时扫描是什么?
运行时扫描在确保 Kubernetes 环境中应用程序的安全性和完整性方面起着至关重要的作用。它允许您在应用程序运行时实时监控和检测漏洞。此外,借助 KubeClarity 运行时扫描,您可以深入了解部署后 Kubernetes 应用程序的安全状况。
Kubernetes 集群运行时扫描
扫描运行时 Kubernetes 集群对于主动实时检测和解决漏洞至关重要,可确保应用程序和基础架构的安全性和完整性。通过持续监控和扫描集群,您可以降低风险、防止潜在攻击并在动态 Kubernetes 环境中保持强大的安全态势。除了构建时或静态分析之外,采用运行时扫描策略的一些主要优势包括:
实时威胁检测
快速识别漏洞
增强安全态势
主动降低风险
遵守合规性
全面的漏洞管理
适应动态环境
快速响应新出现的威胁
持续改进
KubeClarity 运行时扫描功能
KubeClarity 提供了许多令人印象深刻的功能,极大地增强了运行时扫描体验。以下是一些主要亮点:
更快的运行时扫描
使用您可以享受更 快的 融合数据库 运行时扫描。扫描过程经过优化,将检测漏洞所需的时间从几分钟缩短到几秒钟。这可以更快地识别和修复潜在的安全风险。
无需提取图像 TAR
KubeClarity 采用了一种机制,无需提取整个镜像 tar。相反,它采用一种更有效的方法,避免了提取完整镜像 tar 的不必要开销。
利用缓存的 SBOM
如果图像已经被扫描,KubeClarity 会使用缓存的 SBOM 数据,从而无需耗时检索和重新计算图像,从而提高整体效率。
将扫描时间缩短至数秒
使用 KubeClarity,扫描准入控制中的图像变得轻而易举。以前可能需要几分钟的扫描过程现在显著加快,几秒钟内即可获得结果。这允许 其他人工智能技术 实时漏洞评估,而不会导致 CI/CD 管道延迟或中断。请注意,Kubernetes 命名空间选项的运行时扫描可通过 UI 和 API 选项获得。
例如,当您在 KubeClarity Kubernetes 集群中将镜像下载为 tarball 时,tarball 包含构成镜像的多个文件和目录。这些通常包括:
清单文件:此文件提供有关图像的元数据,例如其名称、版本和依赖项。
层文件:镜像通常由多个层组成;压缩包中有一个单独的文件代表每个层。层包含镜像引入的文件系统更改。
配置文件定义图像的运行时行为,例如环境变量、公开的端口和入口点命令。
二进制文件和库:映像可能包含容器内 bw列表 封装的应用程序或服务的可执行二进制文件和所需的库。
下载镜像 tarball 时,通常会获取在 Kubernetes 集群上重新创建镜像所需的所有文件和目录。但值得注意的是,从 tarball 中实际提取和使用特定文件可能取决于集群内的运行时和执行上下文,而这正是 KubeClarity 的优势所在。
运行时扫描架构
图 2 说明了运行时扫描架构的结构。此布局直观地表示了运行时扫描系统内的组件及其互连。通过查看该图,您可以更好地了解各个元素如何协同工作以促进运行时的扫描过程。
KubeClarity 运行时扫描架构
图 2:KubeClarity 运行时扫描架构
值得注意的是,启动和停止运行时扫描选项可通过 UI 和 API 获得,但不受 CLI 支持。
源代码
在源码中可以找到这些runtime_scan 包模块和runtime_k8s_scanne r模块的实现细节,如下图3所示:
运行时扫描源代码实现模块
图 3:运行时扫描源代码实现模块
运行时扫描:实际操作说明
在 KubeClarity 中启用运行时扫描是一个简单的过程。请按照以下步骤操作:
安装并配置 KubeClarityEKS或Docker。
确保您拥有必要的权限并可以访问 Kubernetes 集群,并且 KubeClarity UI 已启动并正在运行。
指定所需的运行时扫描设置,例如扫描频率和扫描阈值。(在 UI 上)
保存设置并开始扫描。
KubeClarity 现在将在运行时开始扫描您的 Kubernetes 集群,实时检测和解决漏洞。
通过在 KubeClarity 中启用运行时扫描,您可以增强 Kubernetes 环境的云原生安全性,并获得有关应用程序运行期间潜在漏洞的宝贵见解。
安装 KubeClarity 后,您需要配置运行时扫描功能。这涉及定义扫描参数、指定目标工作负载以及启用适当的扫描模块。
