Narrows是云原生安全检测器,为Harbor增加了容器安全的动态扫描功能,实现对Kubernetes集群和工作负载的运行时安全态势评估。它能动态检测漏洞,发现配置错误,阻止攻击,并与Harbor集成,提供安全报告和API接口。Narrows目前支持三种扫描器,未来将扩展更多安全检测能力。
国内外的用户都在使用云原生技术来提高应用的开发效率和可管理性,不少用户运用开源 Harbor 制品仓库,管理敏捷软件供应链中云原生应用的镜像,包括镜像存储、镜像扫描和镜像签名等功能。
Harbor 已经提供了一些高级的安全功能,例如,对镜像进行扫描,以发现潜在的安全问题。Harbor 的镜像扫描功能本质上属于静态扫描,即通过 Trivy,Clair,雅客云 (Arksec) 等漏洞扫描器(scanner),对镜像进行由事件触发或周期性的扫描。静态扫描可检测到镜像文件中潜在的威胁,但部分有风险的镜像仍有可能通过扫描器的检测,并被部署到 Kubernetes 集群中,从而引入了运行时的风险。
举个例子,Harbor 对某个镜像进行了扫描,检测结果是该镜像达到一定的安全级别,允许它上线运行。过了一段时间,有个新的 CVE 漏洞被发现,恰好该镜像包含了这个漏洞,在漏洞修复前 Harbor 不再容许该镜像上线。但是对已经处于运行态的镜像来说,Harbor 则无能为力。
鉴于 Harbor 重点在云原生应用的静态安全保护,面对日趋严重的 “供应链攻击” 的风险,用户需要提高另一方面的安全能力,即动态安全保护(运行时安全保护)。
为此,我们推出了全新的开源项目 **CNSI, 即云原生安全检测器(Cloud Native Security Inspector),项目代号: Narrows。**在 Harbor 的基础上,Narrows 增强了动态安全方面的能力,它允许用户对 Kubernetes 集群和其中的工作负载进行运行时的安全态势评估。镜像仓库中的镜像可以在被引入到 Kubernetes 的集群时被扫描,同时 Kubernetes 集群本身的配置和状态一并被扫描并生成安全报告。从而让管理员发现、标记集群中所存在的安全漏洞,并对有漏洞的工作负载进行隔离。
Narrows 所带来的运行时动态安全扫描能力非常关键,它帮助管理员对 Kubernetes 集群和其上工作负载有更好的安全状态控制和感知,而不仅仅是只关注工作负载的生命周期。
Narrows 提供的能力包括:
・ 对运行时的漏洞动态检测和感知
・ 发现 Kubern
最低0.47元/天 解锁文章
扫一扫
197
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
