1. 概览
HummerRisk 是开源的云原生安全渠道,以非侵入的方式处理云原生环境的安全和管理问题。中心才能包含混合云的安全管理和容器云安全检测。
本文将介绍如何运用HummerRisk 中的资源态势相关功用,HummerRisk 中的资源态势在两个中心部分都有,所以咱们也会分两部分来介绍相关的运用。
2. 混合云资源态势
运用资源态势相关功用的前提是要完结绑定云账号,相关绑定云账号的内容,请检查多云检测相关的运用说明,这儿咱们假定您已经在体系中绑定好了云账号。在完结云账号绑定后,体系会主动履行一次资源同步,同步完结后即可在资源态势中检查相关云账号的资源状况。
资源清单
在资源态势页面,能够经过共同的界面检查多云账号中的资源状况。
- 左边的「悉数云账号」会列出现在绑定账号中支撑资源态势的账号,点击某一账号,即可检查对应账号的云资源。
- 「资源汇总」部分会将云资源按类别汇总数量,比如huawei.iam等。汇总打分时候会夸账号计算。
- 「资源清单」会列出具体的资源信息,每条记载就是云上的一个相关资源。点击左边的箭头,能够打开资源的具体信息。
危险状况
每条记载都会显现危险状况,这儿的危险依赖于「多云检测」的结果。如果在多云检测的过程中,发现对应的云资源存在危险,那么这儿就会显现「有危险」,而如果没有危险,则对应显现「无危险」。危险状况分为「有危险」,「无危险」,「未检测」。
点击「有危险」的状况按钮,能够检查检测出本资源存在危险的检测规则,再依据相关检测历史,便利修正对应危险。
云资源拓扑图
云资源拓扑图中会将一切云账号中的资源以拓扑图的方式呈现。
每一个大圈代表一个云账号,其下还会有3层,别离代表区域 -> 资源类型 -> 具体资源。一同上层的圈中会汇总基层资源的数量,便于看到计算信息。
另一个需求注意的事色彩,白色的资源代表该资源没有危险,而橘色的资源代表有危险,和前面介绍「资源清单」中的危险状况共同。
云资源同步使命
除了首次绑定云账号后的主动同步使命外,还能够在体系中手动进行资源同步,在云资源同步日志列表中能够检查到悉数的同步使命。
点击「创立资源同步使命」,选择希望手动同步的云账号,即可创立同步使命。
创立完使命后,能够在列表中检查到使命履行状况。列表中的状况包含「正在处理」,「已完结」,「反常」,「告警」,点击状况中的按钮,能够检查同步使命的具体日志信息。
使命列表中还供给了「资源类型」的显现,由于各个公有云资源类型繁复,咱们会逐渐扩大和支撑,所以经过资源类型,能够愈加便利用户了解现在支撑的资源。
点击云账号中的对应按钮,能够检查到该云账号支撑同步的云资源类型。
3. 容器云资源态势
体系中另一个资源态势,是针对 K8s 容器云的部分。这儿咱们会将体系中绑定的多个容器云环境进行汇总,共同将资源信息进行展现和拓扑呈现。和混合云部分相同,想要运用资源态势也需求先绑定 K8s 环境的账号。
资源清单
点击「云原生安全」->「资源态势」进入页面,在这儿能够共同检查体系中绑定的多个K8s账号的资源状况。如下图:
- 左边的「悉数K8s账号」会列出目悉数K8s账号,点击某一账号,即可检查对应账号的资源。
- 「资源汇总」部分会将云资源按类别汇总数量,一同下方咱们突出显现了5中常用资源,namespace,pod,node,deployment,service。
- 「资源清单」会列出具体的资源信息,点击资源名称会看到具体资源描述文件内容
K8s资源拓扑图
在资源拓扑图中,咱们经过4个视角来图形化展现K8s集群的资源状况,别离是:「K8s 危险视角」,「节点视角」,「命名空间视角」,「资源视角」。
K8s危险视角
本视角的资源拓扑中心方针是展现集群的危险状况,如下图:
在本视角中,一次只显现一个K8s账号的资源危险,能够经过顶部下拉菜单切换到不同的K8s账号。
图形中部的圈代表不同的资源,资源会以namespace分类,每一个外层的圆圈代表一个namespace。内层的圆圈代表处于namespace中的具体资源。圆圈会被显现为不同的色彩,这些色彩代表危险等级,现在分为5类危险等级,具体如下:
等级
能够经过右上角的选项,能够经过危险等级对资源进行过滤,还能够点击「导出PDF」将拓扑图下载下来。如图:
左边的images列出K8s中运用的悉数镜像,而且根据「K8s 检测」和「镜像检测」的结果,其中存在危险的镜像会显现为红色,打开镜像信息,能够看到具体的漏洞状况。
节点视角
本视角是以K8s中的node作为分类进行聚合,然后将node中资源展现出来,在本视角中会一同显现悉数K8s账号的资源。
如下图:
命名空间视角
本视角是以K8s中的namespace作为分类进行聚合,然后将悉数K8s账号中namespace的资源展现出来。如下图:
资源视角
本视角会按K8s账号进行分类,将一个K8s账号中的悉数资源都显现到一同。如下图:
K8s RBAC拓扑图
K8s中的权限依托RBAC进行完成和管理,但其复杂性一向困扰安全管理,本拓扑图的中心方针是展现K8s集群中的RBAC状况,包含SA,Role,resource直接的相关关系。如下图:
每次只能显现一个K8s账号的状况,点击左上角的下拉菜单,能够切换显现不同K8s账号。
点击顶部的图例,能够将部分资源内容显现或躲藏。
K8s资源同步使命
除了首次绑定K8s账号后会主动同步资源外,还能够在体系中手动进行资源同步,在K8s资源同步日志列表中能够检查到悉数的同步使命。
点击「创立资源同步使命」,选择希望手动同步的云账号,即可创立同步使命。