目录
集群资源可视化
卡巴斯基容器安全可视化了一个或多个集群内的对象,以及集群内的对象与集群或范围之外的资源之间的链接。根据集群资源可视化的级别,它将显示以下内容:
- 命名空间图表:表示集群及其中的命名空间。
- 所选集群的应用程序图:显示集群、其命名空间以及扩展命名空间的应用程序。通过将对象扩展至最低级别,可以最详细地显示应用程序图。
使用集群资源图表时,必须考虑对象显示的以下详情:
- 对象图标右上角的数字显示了指定对象内更低级别的对象(子对象)的数量。
- 图表上的对象可能会以某种颜色突出显示。如果对象符合关于风险评估和安全策略合规的既定参数,则可对其进行识别。
- 图表上的对象将按照以下规则分组:
- 如果突出显示的对象数量超过五个,则将其分为一组。
- 如果未突出显示的对象数量超过两个,则将其分为一组。
- 如需要,可以隐藏图表上的对象。
如果该集群存在活动代理,则会生成集群资源的可视化表示。
页首图表上的集群资源
卡巴斯基容器安全可扫描并显示集群的资源及其之间的链接。此扫描针对所有具有活动代理的集群执行。
集群资源是存储在编排器中并用于表示集群状态的实体或对象。在它们的帮助下,您可以获得有关正在运行的容器化应用程序的信息、它们的启动位置(节点)以及对其可用的资源。集群对象还可定义用于管理正在运行的应用程序的策略(例如,重新启动或更新)。
在卡巴斯基容器安全的界面中,最高级别的对象(父对象)是集群。它包括在其中启动应用程序的命名空间。反过来,应用程序包括 Pod 和其他对象。
集群是一组运行容器化应用程序的实体机或虚拟机(节点)。在 Kubernetes 中节点分为以下类型:
- 主节点实现 API 对象并用于管理集群及其资源。
- 工作节点用于运行工作负载。一个集群包含一个或多个工作节点。
卡巴斯基容器安全将集群显示为使用集群图标的图表(
)。
根据您想要集群资源显示的详细程度,卡巴斯基容器安全将图表显示为命名空间图表或应用程序图表。下表列出了可能包含在集群中并显示在图表上的所有对象。
集群内的对象
|
对象 |
图标 |
描述 |
|---|---|---|
|
命名空间 |
|
用于隔离集群内资源的机制。命名空间包含单个工作区所需的各种对象(例如,部署、服务)。 卡巴斯基容器安全可以在图表上对命名空间进行分组,并显示这样的一组对象,指示其中的实体数量(例如, |
|
Pod |
|
包含一个或多个具有共享网络资源的容器的实体,以及一组用于运行 Pod 中包含的容器的规则。 |
|
应用程序 |
|
集群中的一组对象,在卡巴斯基容器安全中通常被视为单个实体。 该应用程序由以下对象组成:
单个 Pod 不构成应用程序。它们继续作为命名空间的一部分发挥作用,并在图表上单独显示。 |
|
部署 |
|
包含一组规则的对象,描述了 Pod 及在其中的应用程序的运行、Pod 副本的数量以及在其特性发生变化时替换它们的顺序。 |
|
DaemonSet |
|
负责在集群的所有节点上从同一映像创建和运行 Pod 的对象。在卡巴斯基容器安全中,DaemonSet 用于在集群的每个节点上部署代理(node-agent)来接收信息并管理 Pod 中的进程。 |
|
Ingress |
|
提供对集群中服务的外部访问的对象,通常通过 HTTP 和 HTTPS 进行。 |
|
ReplicaSet |
|
管理 Pod 复制的对象。ReplicaSet 维护一定数量的相同 Pod。 |
|
Secret |
|
用于存储敏感数据(例如密码、令牌或密钥)的对象。Secret 有助于避免将此类数据存储在应用程序代码中。 Secret 是与使用此类对象存储敏感数据的 Pod 分开创建的。这降低了在创建、查看或编辑 Pod 时泄露 Secret 的风险。 |
|
服务 |
|
描述 Pod 中应用程序的网络功能的对象。服务将 Pod 组合成逻辑组,向它们转发流量,并在它们之间平衡负载。 |
|
端点 |
|
服务对象查询以确定将流量引导到哪些 Pod 的网络端点列表。 |
|
StatefulSet |
|
用于通过跟踪和保存应用程序状态来管理应用程序的工作负载对象。 StatefulSet 用于需要以下功能的应用程序:
|
|
ConfigMap |
|
用于以键值对形式存储非敏感数据的对象。ConfigMap 在 Pod 中用作环境变量、命令行参数或卷内的配置文件。 使用 ConfigMap 可以将特定于环境的配置设置与容器中的镜像分开,以提高应用程序的可转移性。 |
|
持久卷(PV) |
|
用于在集群中存储 Pod 数据的专用持久资源(卷)。PV 独立于 Pod,存储其中包含的信息,并在实现多路访问时允许其他 Pod 使用该信息。 |
|
持久卷申领(PVC) |
|
用户生成的存储具有持久卷 (PV) 要求的数据的请求。例如,PVC 可以指定所需的持久卷的大小以及访问其中的数据的模式(例如,单次读取访问或多次读/写访问)。 |
命名空间图表
要查看选定集群的命名空间图表,
在包含集群列表的表中,单击“查看”。
卡巴斯基容器安全显示集群及其命名空间。
卡巴斯基容器安全可以在侧边栏或表格中的命名空间图表上显示有关集群和命名空间的信息。侧边栏提供了有关对象的简短总结。表格展示了有关集群中对象的安全扫描状态的更多详细信息。侧边栏和表格之间的数据部分重复。
页首在侧边栏中查看有关图表对象的详细信息
要在侧边栏查看集群信息:
- 单击命名空间图表上的集群 () 或命名空间 (
) 图标。 - 在打开的菜单中,选择“详细信息”。
详细信息侧边栏将显示以下特定于对象的数据:
在表格中查看有关图表对象的详细信息
要查看表格中图表上对象的信息:
- 单击命名空间图表中的以下图标之一:
- 集群 ()
- 命名空间组 (
) - 命名空间 ()
- 集群 (
- 在打开的菜单中,选择“在表格中打开”。
卡巴斯基容器安全会在图表下方的工作窗格底部打开一个表格,其中包含有关所选对象或对象组的信息。根据对象,卡巴斯基容器安全将在打开的表格中显示以下容器详细信息:
您也可以使用该表格来配置对象在图表上的显示方式,以隐藏或显示命名空间。
页首应用程序图表
要查看选定集群的应用程序图表:
- 转到资源→资产→集群。
- 执行以下操作之一:
- 在表格查看选项卡上,打开包含命名空间列表的表格并单击“查看”。
- 在图表查看选项卡中,打开命名空间图并执行以下操作之一:
- 双击将命名空间扩展至应用程序。
- 单击命名空间图标 () 打开菜单并选择在图表上展开。
卡巴斯基容器安全显示所选命名空间中的所有应用程序。
每个应用程序都可以向下扩展到 Pod 级别。您可以在选定集群的应用程序图上查看以下对象的详细信息:
页首查看应用程序信息
要打开有关应用程序图中的应用程序的信息,请
单击应用程序图标 (
)打开菜单并选择“详细信息”。
卡巴斯基容器安全将打开一个侧面板,其中包含有关应用程序的详细信息。
该解决方案显示有关应用程序的以下信息:
- 对象类型和应用程序类型(例如,应用程序:部署)。
- 应用程序名称。
- 最高风险评级。该解决方案可根据该应用程序内所有对象的最高严重性级别为应用程序分配风险等级。
- 安全策略合规状态为合规或不合规。
- 容器选项卡包含所选 Pod 内的容器的以下信息:
- 策略选项卡显示有关应用于应用程序的保障策略和运行时策略的信息。
保障策略部分提供以下信息:
- 策略应用状态(已通过/已失败)。
- 策略名称。
- 表明现有的安全威胁。根据所应用的策略,扫描结果可以显示如下:
- 扫描已执行,识别出安全威胁(
)。 - 扫描已执行,未识别出安全威胁(
)。 - 未对此类安全威胁进行扫描(
)。
- 扫描已执行,识别出安全威胁(
运行时策略部分包含以下信息:
- 策略名称。
- 策略应用模式(审计/强制)。
通过单击策略选项卡中策略名称的链接,您可以查看其详细描述。侧栏显示以下信息:
- 策略类型和名称。
- 策略描述(如果有)。
- 策略作者。
- 模式(适用于运行时策略)。
- 预定义范围的列表。
- 应用策略时执行的操作(适用于保障策略)。
- 设定基准及其参数。
您可以通过单击编辑策略按钮来编辑保障策略的设置。
要查看策略的详细描述,您必须具有查看它们的权限。需要策略管理权限才能更改策略设置。
查看应用程序中对象的信息
要打开有关应用程序图中的对象的信息:
- 在应用程序图上,选择您想要获取其对象信息的应用程序,然后执行以下操作之一:
- 双击应用程序将其展开至其组成对象。
- 单击应用程序图标 () 打开菜单并选择在图表上展开。
- 选择感兴趣的对象并双击以在侧面板中展开其信息。
卡巴斯基容器安全将打开一个侧面板,其中包含有关所选对象的详细信息。
根据对象的类型,会显示有关所选实体的附加信息。下表描述了解决方案针对应用程序中的各种对象显示的信息集。
应用程序中的对象信息
|
对象 |
显示的对象数据 |
|---|---|
|
部署 |
|
|
DaemonSet |
|
|
Ingress |
|
|
Secret |
|
|
ReplicaSet |
|
|
服务 |
|
|
端点 |
|
|
StatefulSet |
|
|
ConfigMap |
|
|
持久卷 |
|
|
持久卷申领 |
|
您可以使用下载 .yaml按钮为所有对象生成并下载一个包含对象当前状态描述的文件(.YAML 格式)。
页首查看 Pod 信息
要打开 Pod 信息,请
在图表上,选择您想要接收其信息的 Pod,然后双击在侧面板中展开其信息。
卡巴斯基容器安全在所有类型的图表上显示 Pod:命名空间图表和应用程序图表。
该解决方案将打开一个侧面板,其中包含有关 Pod 的详细信息。
卡巴斯基容器安全显示有关该 Pod 的以下信息:
- 对象类型。
- Pod 镜像中的最大风险分数。
- 安全策略合规状态为合规或不合规。
- Pod 名称。
- 常规选项卡包含有关该对象的以下信息:
- 创建的日期和时间。
- 标签。
- Pod 运行状态。
- Pod 生命周期 – 查看 Pod 信息的日期和时间与其创建日期和时间之间的时间段。
- Pod 容器使用的端口列表,格式如下:<
“端口名称”端口协议>。例如,"dns" UDP 53。 - Pod 可用的系统功能。
- Pod 使用的 PV 的名称。
- 所用 PVC 的名称。
- Pod 所在的应用程序、命名空间和集群的名称。
另外,在此选项卡中,您可以单击“下载 *.yaml”来生成并下载包含 Pod 描述的文件。
- 容器选项卡包含有关 Pod 内的容器的以下信息:
- 策略选项卡显示有关应用于 Pod 的保障策略和运行时策略的信息。关于应用到 Pod 的策略的信息分为两部分(保障策略和运行时策略),类似于在图表上查看有关应用程序的信息时显示的有关适用策略的信息。
要查看策略的详细描述,您必须具有查看它们的权限。需要策略管理权限才能更改策略设置。
在表格中查看有关应用程序图表对象的详细信息
要查看作为表格的应用程序图表上对象的信息:
- 执行以下操作之一:
- 单击表示图表上命名空间内的应用程序数量的命名空间图标 ( ) 。
- 单击命名空间内应用程序组的图标 (
)。
- 单击表示图表上命名空间内的应用程序数量的命名空间图标 (
- 在打开的菜单中,选择“在表格中打开”。
解决方案将在图表下方工作区下部打开一个表格,其中包含有关应用程序的信息。卡巴斯基容器安全显示以下信息:
- 该命名空间中的应用程序列表及其类型(父对象的类型)。
- 每个应用程序中的 Pod 和容器数量。
- 分配给命名空间中对象的最大风险评级。
- 安全策略合规状态为合规或不合规。
突出显示图表上的对象
要突出显示图形上的对象:
- 单击图表上方的“突出显示对象”按钮。
卡巴斯基容器安全将打开一个侧边栏,您可以在其中配置突出显示对象的设置。
- 选中复选框以指定以下设置的值:
- 风险评级。您可以选择一个或多个风险严重程度级别(“严重”、“高”或“中”)。如果未选中复选框,则图表上的对象不会突出显示。
默认情况下,值为“严重”和“高”的复选框处于选中状态。
- 合规 如果选中“不合规”复选框,卡巴斯基容器安全将突出显示不符合适用安全策略的对象。如果未选中此复选框,则图表上的对象不会突出显示,无论其是否符合标准。
默认情况下,不合规为指定项。
- 风险评级。您可以选择一个或多个风险严重程度级别(“严重”、“高”或“中”)。如果未选中复选框,则图表上的对象不会突出显示。
- 单击“应用”。
卡巴斯基容器安全根据您的设置更新图表并显示对象。
对于每个用户,解决方案都会保存用户指定的突出显示设置,并在显示该用户稍后打开的集群对象时应用这些设置。
配置对象在图表上的可见性
默认情况下,卡巴斯基容器安全在图表上显示集群中的所有命名空间。如果这些命名空间及其中的对象与您的特定分析任务无关,必要时您可以隐藏命名空间。
您可以配置图表对象的可见性:
- 在图表上
- 在包含子对象相关信息的表格中
要借助图表隐藏名字空间:
- 单击图表上的对象图标。
- 在打开的菜单中,选择“隐藏”。
卡巴斯基容器安全将更新图表并隐藏对象。
您可以借助包含有关父对象或对象组详细信息的表格来恢复对象的可见性。
要借助表格配置命名空间的可见性:
- 在包含命名空间作为列的一部分的表中,选择一个或多个要更改可见性设置的对象。
- 使用表格上方的按钮执行以下操作之一:
- 要显示图表上的对象,请单击“在图表上显示”。
- 要隐藏图表上的对象,请单击“在图表上隐藏”。
卡巴斯基容器安全根据您的设置更新图表并显示对象。“数据显示”列指示对象在图表上是否显示或隐藏。
图表上的网络进程
卡巴斯基容器安全在图表上显示对象之间的网络交互,还提供有关集群资源之间网络活动的信息。
要查看集群中的网络活动:
- 在资源→资产→集群部分,转到图形视图选项卡。
- 单击图表区域上方的显示网络活动。
解决方案将打开侧边栏,其中包含可供显示的网络活动类型。
- 通过选中复选框,选择一个或多个网络活动显示选项。您可以选择以下显示选项:
- 显示审计的活动。这将显示根据审计模式下应用的运行时策略检测到的网络连接。
- 显示阻止的活动。这将显示根据强制模式下应用的运行时策略阻止的网络连接尝试。
- 显示其他活动。这将显示审计和强制模式下应用的运行时策略未涵盖的网络连接。
- 单击“应用”。
图表将重新加载,选定的网络活动将显示。
网络进程显示原则
以下原则适用于卡巴斯基容器安全中图表上网络连接的显示:
- 解决方案将进程显示为两个对象(集群内的对象组)之间的边,或一个对象(对象组)与集群外部资源之间的边。图表上的箭头从发送者对象指向接收者对象。如果相同类型的网络活动(例如,审计活动)发生在通过网络连接链接的一对对象之间,并且对象之间的流量是双向的,则解决方案用双向箭头表示该活动。
- 如果接收对象超出了相关集群、基础设施或分配给用户的范围,则解决方案将其指示为超出集群或范围的资源。
- 如果检测到涉及此类组中至少一个对象的入站或出站流量,则图表显示与该组命名空间或应用程序的网络连接。当您将组展开到其组成对象时,将显示与特定资源的连接。
- 如果多个网络进程从一个对象转到另一个对象,则解决方案在显示它们时会采用网络活动的优先级。被阻止的活动具有最高优先级,其他活动具有最低优先级。
解决方案显示不同类型的网络活动,如下所示:
- 图表上被阻止的活动用红色虚线表示(
)。 - 图表上的审计活动用带箭头的红实线表示 (
)。 - 图表上的其他活动用带箭头的黑实线表示(
)。 - 双向网络活动在图表上表示为与某一活动类型相对应的一条线,两端都有箭头(
)。 - 如果将鼠标悬停在图表上的网络连接线上,该线将突出显示并改变颜色(
)。
查看有关网络进程的信息
卡巴斯基容器安全可以提供有关网络活动的简要和详细信息。
要查看有关网络活动的简要信息:
将鼠标悬停在相关网络连接上。
一个工具提示将显示,其中包含每种网络活动类型(被阻止、审计和其他)的非唯一连接数。
要查看有关网络活动的详细信息:
单击相关连接。
这将打开侧栏,其中包含有关所选连接的网络活动的信息。
侧边栏显示侧边栏被调用之前 15 分钟的网络活动信息。网络活动信息显示在“审计的活动”、“阻止的活动”和其他活动选项卡上的表格中。连接数显示在选项卡标题旁边。
这些表格具有相同的结构并包含以下信息:
- 源列包含网络流量发送方 Pod 的名称,以及格式为
<pod IP address:outbound traffic port>的 Pod 的 IP 地址。您可以单击 Pod 名称中的链接来打开该 Pod 的详细描述。 - 协议列表示 Pod 交互协议。
- 目的地列包含网络流量接收方 Pod 的名称,以及格式为
<pod IP address:inbound traffic port>的 Pod 的 IP 地址。您可以单击 Pod 名称中的链接来打开该 Pod 的详细描述。 - 连接数列显示流量发送方和接收方之间的非唯一连接的总数。
- 上次连接列显示流量发送方和接收方之间上次非唯一连接的日期和时间。
如果发送方对象或接收方对象位于相关集群之外,则源或目的地列分别显示该对象的域名和 IP 地址(如果解决方案可以获取此信息)。
页首