卡巴斯基容器安全

配置和生成报告

卡巴斯基容器安全提供了根据仓库、集群和镜像的扫描结果生成报告的功能。生成的报告列表显示在“管理报告”下。

解决方案生成的报告显示以下信息:

  • 与卡巴斯基容器安全运行逻辑相关的事件,例如扫描镜像或分析节点的结果。
  • 统计数据,例如镜像列表及其已识别的安全问题。

卡巴斯基容器安全提供以下报告模板:

根据应用的报告模板,将在解决方案的不同部分创建和生成报告。

报告生成过程可能需要几分钟时间。

生成的报告列表显示在“管理报告”下。可以下载 HTML、PDF 或 CSV 格式的报告。

在卡巴斯基容器安全中,报告仅以英语生成。

本节帮助内容

镜像报告

风险接受报告

Kubernetes 基准报告

生成报告

下载和删除报告

页首
[Topic 269988]

镜像报告

在卡巴斯基容器安全中,可以生成有关镜像扫描结果的报告。根据所需的信息详细程度,镜像报告可以是摘要报告或详细报告。

镜像摘要报告。

摘要报告提供有关所选镜像的综合信息。此报告提供镜像的名称以及包含这些镜像的集群的名称。摘要报告包含有关镜像是否符合安全策略要求的数据、调用了镜像扫描的策略的名称以及扫描状态。对于每个镜像,该报告都包含已识别的与漏洞、恶意软件、敏感信息和错误配置相关的风险数量的数据。

镜像详细报告

详细报告提供有关所选镜像、完成的扫描和识别的安全问题的更详细信息。每个报告都包括上次扫描的日期和时间、包含所选镜像的集群、风险评估以及是否符合安全策略要求的评估。卡巴斯基容器安全根据已识别的漏洞、恶意软件、敏感数据和错误配置显示不同严重级别的对象数量。

在包含应用的镜像安全策略说明的块中,应用程序提供了镜像安全策略列表,并指示此扫描阶段成功完成还是出现错误。该报告还详细说明了卡巴斯基容器安全根据特定策略所执行的操作。在这种情况下,报告可能会显示 CI/CD 阶段被阻止、镜像被标记为不符合安全要求,或者同时执行了这两个操作。

漏洞”部分提供已识别漏洞的列表、漏洞严重级别、在其中检测到漏洞的资源以及修复了漏洞的镜像版本。

恶意软件”和“敏感数据”部分显示了检测到的恶意对象和包含敏感数据的对象的列表。对于每个对象,都会指示严重级别和路径。

错误配置”块提供一个列表,指示在其中识别出错误配置的文件的名称、错误配置的严重级别以及文件类型(例如 Docker 文件)。它还详细说明检测到的问题并提供解决问题的建议。

卡巴斯基容器安全从内部数据库接收错误配置相关问题的描述,以进行配置文件分析。其中包含扫描以下来源配置文件的模块:Kubernetes、Dockerfile、Containerfile、Terraform、Cloudformation、Azure ARM Template 和 Helm Chart。错误配置的描述和修复建议与指定的扫描模块使用相同的语言。例如,Kubernetes 中的错误配置描述以英语提供。
该数据库会在应用程序的新版本发布时更新。

页首
[Topic 264258]

风险接受报告

风险接受报告包含有关接受的风险的数据,包括接受风险的日期和时间。您可以根据筛选器生成所有已接受风险或一组已接受风险的报告。

对于每个选定的已接受风险,其名称按以下格式指定:

  • 风险类型(漏洞、恶意软件、敏感数据或错误配置)。
  • 风险名称或 ID。
  • 风险严重程度。

卡巴斯基容器安全提供镜像名称、检测到特定风险的资源和存储库的名称以及修复了风险的镜像版本。报告表格还将显示有关风险接受的以下信息:

  • 风险接受范围
  • 确定镜像安全状态时,在应再次考虑风险前经过的时间段。
  • 接受了风险的用户。
页首
[Topic 264537]

Kubernetes 基准报告

在卡巴斯基容器安全中,您可以根据检查对象是否符合 Kubernetes 基准的结果来生成报告。

默认情况下,会为所有状态的节点生成报告 - “通过”、“警告”和“失败”。如果需要为具有特定扫描状态的节点生成报告,请在表格上方的“控制状态”部分中单击相应的状态按钮。卡巴斯基容器安全将更新合规性检查结果的显示,并为具有相关状态的节点生成报告。

根据信息详细程度,报告可以是总结报告或详细报告。

Kubernetes 基准检查总结报告

总结报告提供有关所选集群的综合信息。它列出了具有指定合规性检查状态的节点的名称,以及每个节点上次接受检查的日期和时间。所有节点的报告将显示在对象扫描期间检测到的具有选定状态的 Kubernetes 基准的数量的相关信息。

Kubernetes 基准检查详细报告

详细报告提供有关所选集群的节点或集群的特定节点的更多详细信息。具体取决于您在生成报告时所选择的解决方案子部分:

  • 从包含集群列表的表格中创建有关所选集群中节点的详细报告。
  • 页面上会生成有关节点的报告,其中包含该节点的详细描述。

对于选择用于生成报告的集群中的每个节点,还列出了最后一次执行扫描的日期和时间、被分配了扫描状态的 Kubernetes 基准的数量,以及在生成报告之前分配了所选状态的基准。

Kubernetes 基准为解决方案和应用程序的安全配置提供了配置基线和建议,以增强网络威胁防护。强化是指通过消除潜在风险来帮助防范未经授权的访问、拒绝服务以及其他安全事件的过程。

Kubernetes 基准检查示例

在检查节点是否符合 Kubernetes 基准后,卡巴斯基容器安全可以显示与安全要求相关的建议,例如:

  • 控制平面组件
    • 控制平面节点配置文件
      • 确保将 API 服务器 pod 规范文件的权限设置为 644 或更严格。
      • 确保将 API 服务器 pod 规范文件的所有权设置为 root:root
    • API 服务器
      • 确保将 --anonymous-auth 参数设置为 false
      • 确保未设置 --token-auth-file 参数。
    • 控制器管理器
      • 确保为 --terminated-pod-gc-threshold 参数设置适当的值。
      • 确保将 --profiling 参数设置为 false
  • etcd
    • 确保为 --cert-file--key-file 参数设置适当的值。
    • 确保将 --client-cert-auth 参数设置为 true
  • 控制平面配置
    • 身份验证和授权
      • 不应使用客户端证书身份验证方式来认证用户。
    • 日志记录
      • 确保创建最小审计策略。
      • 确保审计策略涵盖关键的安全问题。
  • 工作节点
    • 工作节点配置文件
      • 确保将 kubelet 服务文件的权限设置为 644 或更多限制。
      • 确保将 kubelet 服务文件的所有权设置为 root:root
  • 策略。
    • 基于角色的访问控制和账户
      • 确保仅在需要时使用 cluster-admin 角色。
      • 尽量减少对机密的访问。
    • Pod 安全策略
      • 最小化特权容器准入。
    • 网络策略和容器网络接口 (CNI)
      • 确保使用中的 CNI 支持网络策略。
      • 确保所有命名空间都已定义网络策略。
    • 机密管理
      • 更倾向于将机密作为文件而非环境变量使用。
      • 考虑外部机密存储。

    .

页首
[Topic 264538]

生成报告

在卡巴斯基容器安全中,根据您使用的特定报告模板,报告在应用程序的不同部分中生成。

报告生成过程可能需要几分钟时间。

您可以在“管理报告”下查看生成的报告列表。在该部分中,生成的报告能以 .HTML、.PDF 或 .CSV 格式下载。

页首
[Topic 270330]

生成镜像报告

要生成镜像摘要报告:

  1. 转到以下部分之一:
    • 资源资产仓库”,生成与解决方案集成的仓库中的镜像的报告。
    • 资源CI/CD”,生成在 CI/CD 中扫描的镜像的报告。

      在“资源CI/CD”下,仅针对镜像构件类型 (container_imageimage) 的对象生成报告。在此部分中,无法为其他类型的构件生成报告。

  2. 根据您选择的部分,执行以下操作之一:
    • 在“资源资产仓库”部分中,选择要为其生成报告的存储库或者一个或多个镜像。

      您可以选中表格标题中的复选框来选择所有存储库和镜像。

    • 在“资源CI/CD”部分中,选择要为其生成报告的一个或多个镜像。

      您可以选中表格标题中的复选框来指定所有存储库中的所有镜像。

  3. 单击表格上方的“创建报告”按钮,然后在下拉列表中选择“镜像摘要报告”。
  4. 在打开的窗口中,确认报告生成。

要生成镜像详细报告:

  1. 转到以下部分之一:
    • 资源资产仓库”,生成与解决方案集成的仓库中的镜像的报告。
    • 资源CI/CD”,生成在 CI/CD 中扫描的镜像的报告。

      在“资源CI/CD”下,仅针对镜像构件类型 (container_imageimage) 的对象生成报告。在此部分中,无法为其他类型的构件生成报告。

    • 组件扫描器扫描器任务”,根据作为扫描任务一部分扫描的镜像生成报告。
  2. 根据您选择的部分,执行以下操作之一:
    • 在“资源资产仓库”下,执行以下步骤:
      1. 选择要为其生成报告的存储库或者一个或多个镜像。
      2. 单击表格上方的“创建报告”按钮,然后在下拉列表中选择“镜像详细报告”。
    • 在“资源CI/CD”下,完成以下步骤:
      1. 选择要为其生成报告的存储库或者一个或多个镜像。
      2. 单击表格上方的“创建报告”按钮,然后在下拉列表中选择“镜像详细报告”。
    • 在“组件扫描器扫描器作业”下,完成以下指定步骤:
      1. 在扫描器任务列表中,选择要为其生成报告的扫描对象。您只能从包含镜像扫描结果详细说明的页面中选择一个镜像。
      2. 在包含对象扫描结果的窗口中,单击有关对象是否符合安全策略要求的描述右侧的“创建报告”按钮。

        只有扫描器作业的状态为“已完成”,才会打开含有“创建报告”按钮的扫描结果窗口。

  3. 在打开的窗口中,确认报告生成。
页首
[Topic 270331]

生成风险接受报告

要生成风险接受报告:

  1. 转至“策略风险接受”部分。

    默认情况下,会为表格中显示的所有已接受风险生成报告。如有必要,可以为特定对象生成报告。要指定要为其生成报告的对象,请执行以下一项或多项操作:

    • 在“搜索”字段中,输入风险名称、存储库名称或镜像名称。
    • 使用表格上方的“风险类型”下拉列表按风险类型选择对象。
    • 使用表格上方的“供应商修复”下拉列表按风险类型选择对象。
  2. 单击表格上方的“创建报告”按钮。

    卡巴斯基容器安全将开始生成报告,并提示您点击链接进入包含生成的报告列表的页面。

页首
[Topic 270332]

生成 Kubernetes 基准报告

要生成 Kubernetes 基准检查总结报告:

  1. 转到“合规性Kubernetes 基准”。
  2. 在“集群”字段中,选择一个或多个要生成报告的集群。

    您可以从“集群”下拉列表中选择“全部”,以生成有关所有集群的报告。

  3. 在表格上方的控制状态下,选择您想要生成报告的检查状态:通过警告失败

    默认选择所有状态。

  4. 单击表格上方的“创建报告”按钮,然后在下拉列表中选择“总结报告”。
  5. 在打开的窗口中,确认报告生成。您可以在管理报告部分下载 .HTML、.PDF 和 .CSV 格式的生成报告。

要生成 Kubernetes 基准检查总结报告:

  1. 转到“合规性Kubernetes 基准”。
  2. 在表格上方的控制状态下,选择您想要生成报告的检查状态:通过警告失败

    默认选择所有状态。

  3. 执行以下操作之一:
    • 在“集群”字段中,选择要为其生成报告的集群,然后完成以下步骤:
      1. 单击表格上方的“创建报告”按钮。
      2. 从下拉列表中选择“详细报告”。
    • 在检查结果表中,单击集群名称并完成以下步骤:
      1. 单击选定集群中某个节点的名称。

        卡巴斯基容器安全将显示扫描期间为此节点获取的有关 Kubernetes 基准的可用数据。

      2. 单击表格上方的“创建报告”按钮。
  4. 在打开的窗口中,确认报告生成。您可以在管理报告部分下载 .HTML、.PDF 和 .CSV 格式的生成报告。

仅为一个集群生成 Kubernetes 基准检查详细报告。然而,其中包含有关该集群中所有节点的信息。
若要获取多个集群的详细报告,您必须为每个集群单独生成一份报告。

页首
[Topic 270334]

下载和删除报告

卡巴斯基容器安全在“管理报告”部分的表格中显示生成的报告列表。

对于每个生成的报告,表格都提供应用程序分配给报告的名称、报告模板、报告的创建日期和时间以及报告生成状态。该表格还允许您以所需的格式下载成功生成的报告,或删除报告。

要下载报告:

在包含报告的行中,单击相关格式的按钮:PDF、HTML 或 CSV。

要删除报告:

  1. 在包含要删除的报告名称的行中,单击删除图标 ("删除" 图标。)。
  2. 在打开的窗口中,确认操作。
页首
[Topic 264301]