Alat Beraksi: Operator Trivy Keamanan Aqua
5 mins read

Alat Beraksi: Operator Trivy Keamanan Aqua

Bendera0Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,


Anda mungkin sudah mengetahui Aqua Security Trivy, alat lengkap untuk memindai gambar dan infrastruktur container Anda. Mengintegrasikannya ke dalam CI/CD Anda untuk segera memunculkan kerentanan keamanan atau kesalahan konfigurasi adalah awal yang baik, namun apa yang terjadi setelah container Anda diterapkan? CVE baru tidak akan menunggu penerapan Anda berikutnya muncul.

Pelajari bagaimana Trivy Operator mengotomatiskan keamanan cluster Kubernetes Anda. Dengan setiap sumber daya baru yang dikerahkan, operator mengambil alih untuk memindai gambar yang berjalan untuk mencari kerentanan, mengaudit konfigurasi, dan mendeteksi rahasia yang terbuka. Trivy Operator juga memaparkan metrik yang dapat diintegrasikan ke dalam dashboard Grafana.

Pengingat tentang Trivy

Mari kita mulai dengan pengingat singkat. Trivy adalah alat baris perintah yang memungkinkan Anda menjalankan berbagai jenis pemindai pada target berbeda.

Pemindai (yang dapat dideteksi Trivy):

  • Paket Sistem dan Ketergantungan Perangkat Lunak (SBOM)
  • Kerentanan yang diketahui (CVE)
  • Masalah IaC dan kesalahan konfigurasi
  • Informasi sensitif dan rahasia terungkap
  • Lisensi perangkat lunak

Target (yang dapat dipindai oleh Trivy):

  • Gambar kontainer
  • Sistem file
  • Repositori Git
  • Gambar mesin virtual (AMI/EBS)
  • Kubernet

Beberapa contoh perintah.

Pindai gambar Python:

trivy image python:3.4-alpine

Trivy akan mengunduh basis data kerentanannya dan menunjukkan kepada kami ringkasan laporan.

Laporan ini menunjukkan 37 kerentanan yang teridentifikasi untuk sistem operasi dan kerentanan dalam paket Python yang diinstal.

Melihat laporan lebih detail, kita dapat melihat detail setiap CVE yang teridentifikasi: ID-nya dan di versi mana mereka diperbaiki.

Untuk melangkah lebih jauh, dimungkinkan:

# Select what security issues to detect
trivy image --scanners vuln,misconfig,secret,license python:3.4-alpine
# Filter by severities
trivy image --severity HIGH,CRITICAL python:3.4-alpine
# Ignore unfixed/unpatched vulnerabilities
trivy image --ignore-unfixed python:3.4-alpine

Dimungkinkan juga untuk meluncurkan trivy untuk memindai kode secara lokal guna mengidentifikasi kesalahan konfigurasi di IaC Anda. Salah satu fitur menariknya adalah kemampuan untuk memindai cluster Kubernetes secara langsung.

trivy k8s --report summary

Perintah ini akan menjalankan pemindaian penuh cluster dan menunjukkan ringkasan kerentanan keamanan dan kesalahan konfigurasi.

Ini sempurna untuk tujuan eksplorasi tetapi setiap hari, kami ingin dapat mengintegrasikan data ini ke dalam alat pemantauan kami seperti Prometheus dan Grafana untuk mengikuti evolusinya.

Operator Trivy

Operator Trivy memanfaatkan Trivy untuk terus memindai cluster Kubernetes Anda. Hasil pemindaian dirangkum dalam bentuk laporan keamanan melalui Custom Resource Definitions (CRD). Operator bekerja dengan memantau perubahan status cluster dan secara otomatis memicu pemindaian keamanan sebagai respons.

Trivy Operator menghasilkan laporan berikut:

  • Kerentanan (cluster dan pod)
  • Audit konfigurasi
  • Kebijakan OPA
  • Rahasia terungkap
  • RBAC dan Penilaian Infrastruktur
  • Komponen inti Kubernetes dan API yang sudah usang
  • SBOM
  • Kepatuhan
    • NSA, Panduan Pengerasan Kubernetes CISA
    • Tolok Ukur CIS untuk Kubernetes
    • Standar Keamanan Pod

Instalasi

Prasyarat:

  • Helm untuk memasang grafik
  • Cluster Kubernetes dengan pengontrol ingress

Penginstal Prometheus + Grafana:

helm install prom oci://ghcr.io/prometheus-community/charts/kube-prometheus-stack \ 
--namespace monitoring \
--create-namespace \
--set prometheus.prometheusSpec.serviceMonitorSelectorNilUsesHelmValues=false \
  --set-json 'prometheus.prometheusSpec.serviceMonitorSelector={}' \
  --set-json 'prometheus.prometheusSpec.serviceMonitorNamespaceSelector={}' \
--set grafana.enabled=true

Untuk menyederhanakan demo, kami mengonfigurasi Prometheus untuk memilih semua layanan monitor.

Operator Trivy Pemasang:

helm repo add aqua https://aquasecurity.github.io/helm-charts/
helm repo update
helm install trivy-operator aqua/trivy-operator \
--namespace trivy-system \
--create-namespace \
--version 0.29.0 \
--set operator.builtInTrivyServer=true \
--set serviceMonitor.enabled=true

Lihat laporan Trivy

Untuk mengujinya, kami akan menerapkan NGINX versi lama.

kubectl create deployment nginx --image nginx:1.16

Pembuatan laporan mungkin memerlukan waktu.

Untuk NGINX Anda akan melihat laporan berikut muncul:

  • KonfigurasiLaporan Audit
  • Laporan Rahasia Terkena
  • Laporan Sbom
  • Laporan Kerentanan

Untuk melihatnya, Anda cukup menggunakan perintah kubectl:

kubectl get vulnerabilityreports -o wide

Hasil :

Anda dapat melihat laporan lain dengan perintah berikut:

kubectl get configauditreports -o wide
kubectl get exposedsecretreports -o wide
kubectl get sbomreports -o wide

Anda juga dapat berkonsultasi dengan sumber daya klaster:

k get clusterinfraassessmentreports -o wide
NAME SCANNER AGE CRITICAL HIGH MEDIUM LOW
node-0   Trivy 17h 0 0 0 0

Dasbor Grafana

Masuk ke antarmuka Prometheus untuk memverifikasi bahwa metrik ada. Anda dapat menguji metrik berikut:

  • trivy_image_vulnerabilities
  • trivy_resource_configaudits
  • trivy_image_exposedsecrets

Hubungkan ke Grafana dan impor Dasbor Operator Trivy dengan id 17813. Setelah berada di dasbor, Anda akan menemukan ikhtisar kerentanan yang ada di cluster.

Jika Anda melihat bagian kerentanan, Anda akan menemukan tabel untuk memfilter dan mengurutkan kerentanan berdasarkan gambar. Jika kita ingin mengidentifikasi gambar dengan kekurangan paling kritis, kita memperoleh:

Anda kemudian bebas mempersonalisasi dasbor sesuai kebutuhan Anda.

Kesimpulan

Kesimpulannya, meskipun integrasi Trivy ke CI/CD sangat penting, Trivy Operator melangkah lebih jauh dengan mentransformasikan keamanan menjadi proses yang berkelanjutan dan otomatis dalam Kubernetes. Trivy Operator menghasilkan inventaris kerentanan dan kesalahan konfigurasi yang lengkap dan konstan. Selain itu, integrasi dengan Prometheus dan dasbor Grafana memungkinkan Anda memantau evolusinya dari waktu ke waktu. Oleh karena itu, Operator Trivy adalah aset DevSecOps utama untuk manajemen keamanan klaster Anda yang proaktif dan reaktif.

Dari sudut pandang konkrit, saya mampu mengimplementasikan Trivy Operator dalam kondisi produksi nyata di klien. Pertanyaan yang sering muncul: apa dampaknya terhadap stabilitas cluster? Tanggapan saya sangat jelas: tidak ada dampak terhadap kinerja. Kami memantau dengan cermat konsumsi sumber daya setelah instalasi dan hal ini tidak pernah menjadi masalah. Alat ini hanya digunakan dan secara teknis “dilupakan” sekaligus membuat keamanan terlihat.


News
Berita Teknologi
Berita Olahraga
Sports news
sports
Motivation
football prediction
technology
Berita Technologi
Berita Terkini
Tempat Wisata
News Flash
Football
Gaming
Game News
Gamers
Jasa Artikel
Jasa Backlink
Agen234
Agen234
Agen234
Resep
Cek Ongkir Cargo
Download Film

Leave a Reply

Your email address will not be published. Required fields are marked *

Website https://bendera.uk

Related Posts