扫描集群环境安全

当集群中的任意一个节点开启容器版防护后，您即可使用集群环境安全功能，对集群环境执行安全扫描，识别集群环境中存在的IaC风险、漏洞、配置风险、敏感信息以及权限管理问题。

根据需要扫描的风险类型，配置扫描任务。

系统漏洞、应用漏洞、配置风险、安全合规扫描

配置扫描任务参数。

相关参数解释请参见表1。

表1 系统漏洞、应用漏洞、配置风险、安全合规扫描任务参数说明
参数名称	参数说明	取值样例
选择扫描对象	选择“集群”。	集群
扫描风险项	扫描风险项可选择“集群漏洞”、“配置风险”以及“安全合规”，其中集群漏洞包含系统漏洞和应用漏洞。相关风险项的详细解释请参见集群环境安全概述。	全选
扫描集群范围	选择扫描的集群范围。全部集群含至少有一个节点开启了容器版防护的所有集群。指定集群按需勾选扫描的目标集群。	全部集群

勾选“我已知悉进行集群扫描即表示同意授予HSS在k8s集群上创建以下资源的权限：Job、ConfigMap、ServiceAccount、ClusterRole、ClusterRoleBinding”。相关资源创建的用途请参见资源创建说明。
单击“立即扫描”，创建开始扫描。
在“集群环境安全”界面右上角，单击“任务管理”，进入任务管理页面，在“集群扫描>集群”页面，查看扫描任务执行进度。
扫描任务执行完成后，您可以在目标扫描任务所在行的“操作”列，单击“查看详情”，查看每个集群的扫描情况。如果扫描失败，可选中该集群，单击“重新扫描”。

应急漏洞扫描

配置扫描任务参数。

表2 应急漏洞扫描任务参数说明
参数名称	参数说明	取值样例
选择扫描对象	选择“节点”。	节点
扫描风险项	默认选中“应急漏洞”，无需手动配置。	应急漏洞
扫描节点范围	选择扫描的节点范围。全部节点含所有开启了容器版防护的节点。指定节点按需勾选扫描的目标节点。	全部节点

表3 IaC安全扫描任务参数说明
参数名称	参数说明
文件类型	在下拉框中选择扫描的文件类型，可选文件类型包括： Dockerfiles：镜像的配置文件 Kubernetes YAML：集群资源的配置文件
上传文件	单击“添加文件”，上传待扫描的目标文件。要求如下：单个文件不能超过1MB，最多支持同时上传10个文件如果已有文件正在扫描，需等待扫描完成后再继续上传文件。

在执行系统漏洞、应用漏洞、配置风险以及安全合规风险扫描时，企业主机安全会在集群中创建表4所示资源，用于执行扫描任务，并在扫描任务执行结束后自动清理这些资源。

CCE集群：在创建扫描任务时，需要您授予企业主机安全表4所示资源的创建权限。
其他集群：在将集群接入HSS的过程中，您已将表4所示资源的创建权限授予HSS，在创建扫描时需要您知情并同意HSS创建资源。查看HSS拥有的集群资源权限请参见查看集群节点列表和权限列表。

表4 系统漏洞、应用漏洞、配置风险以及安全合规扫描所需资源和用途
资源类型	资源名称	所属命名空间	用途
Job	cluster-scan-job-{id}	hss	执行风险扫描任务，名称中的id为单次扫描任务的唯一id。
ConfigMap	cluster-scan-configmap-{id}	hss	扫描任务的配置信息，名称中的id为单次扫描任务的唯一id。
ServiceAccount	hss-read-only-sa	hss	绑定到Job上的账号，以此赋予Job查询k8s资源的权限（只读权限）。
ClusterRoleBinding	hss-view-cluster-role-binding	-	给hss-read-only-sa绑定集群内置集群角色view的权限。
ClusterRole	hss-read-only-cluster-role	-	创建拥有以下资源类型只读权限的角色，用于RBAC权限检查。资源类型包括：roles、rolebindings、clusterroles、clusterrolebindings、validatingwebhookconfigurations、mutatingwebhookconfigurations、networkpolicies、podtemplates、secrets、nodes、leases、csistoragecapacities
ClusterRoleBinding	hss-read-only-binding	-	给hss-read-only-sa绑定hss-read-only-cluster-role角色的权限。