扫描集群环境安全

操作场景

当集群中的任意一个节点开启容器版防护后，您即可使用集群环境安全功能，对集群环境执行安全扫描，识别集群环境中存在的漏洞、配置风险、敏感信息以及权限管理问题。

扫描集群环境安全

1. 登录企业主机安全控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. 在左侧导航栏，选择“风险预防 > 集群环境安全”，进入“集群环境安全”界面。
4. 在页面右上方，单击“手动扫描”，弹出“手动扫描”页面。
5. 根据需要扫描的风险类型，配置扫描任务。
   • 系统漏洞、应用漏洞、配置风险、安全合规扫描
     1. 选择“集群扫描”页签。
     2. 配置扫描任务参数。

        相关参数解释请参见表1。

        表1 系统漏洞、应用漏洞、配置风险、安全合规扫描任务参数说明

        参数名称	参数说明	取值样例
        选择扫描对象	选择“集群”。	集群
        扫描风险项	扫描风险项可选择“集群漏洞”、“配置风险”以及“安全合规”，其中集群漏洞包含系统漏洞和应用漏洞。相关风险项的详细解释请参见集群环境安全概述。	全选
        扫描集群范围	选择扫描的集群范围。 全部集群 含至少有一个节点开启了容器版防护的所有集群。 指定集群 按需勾选扫描的目标集群。	全部集群

     3. 勾选“我已知悉进行集群扫描即表示同意授予HSS在k8s集群上创建以下资源的权限：Job、ConfigMap、ServiceAccount、ClusterRole、ClusterRoleBinding”。相关资源创建的用途请参见资源创建说明。
     4. 单击“立即扫描”，创建开始扫描。
     5. 在“集群环境安全”界面右上方，查看扫描任务执行进度。如图1所示。
        图1 扫描任务执行状态
        
   • 应急漏洞扫描
     1. 选择“集群扫描”页签。
     2. 配置扫描任务参数。

        相关参数解释请参见表2。

        表2 应急漏洞扫描任务参数说明

        参数名称	参数说明	取值样例
        选择扫描对象	选择“节点”。	节点
        扫描风险项	默认选中“应急漏洞”，无需手动配置。	应急漏洞
        扫描节点范围	选择扫描的节点范围。 全部节点 含所有开启了容器版防护的节点。 指定节点 按需勾选扫描的目标节点。	全部节点

     3. 单击“立即扫描”，开始扫描。
     4. 在“集群环境安全”界面右上角，单击“任务管理”，进入任务管理页面，选择“集群扫描”，查看扫描任务执行进度。

        扫描任务执行完成后，您可以在目标扫描任务所在行的“操作”列，单击“查看详情”，查看每个节点的扫描情况。

   • IaC风险扫描
     1. 选择“IaC安全扫描”页签。
     2. 配置扫描任务参数。

        相关参数解释请参见表3。

        图2 IaC安全扫描
        

        表3 IaC安全扫描任务参数说明

        参数名称	参数说明
        文件类型	在下拉框中选择扫描的文件类型，可选文件类型包括： Dockerfiles：镜像的配置文件 Kubernetes YAML：集群资源的配置文件
        上传文件	单击“添加文件”，上传待扫描的目标文件。要求如下： 单个文件不能超过1MB，最多支持同时上传10个文件 如果已有文件正在扫描，需等待扫描完成后再继续上传文件。

     3. 单击“立即扫描”，开始扫描。
     4. 在“集群环境安全”界面右上角，单击“任务管理”，进入任务管理页面，选择“IaC安全扫描”，查看扫描任务执行进度。

        扫描任务执行完成后，您可以在目标扫描任务所在行的“操作”列，单击“查看详情”，查看每个文件的扫描情况。

资源创建说明

在执行系统漏洞、应用漏洞、配置风险以及安全合规风险扫描时，企业主机安全会在集群中创建表4所示资源，用于执行扫描任务，并在扫描任务执行结束后自动清理这些资源。

• CCE集群：在创建扫描任务时，需要您授予企业主机安全表4所示资源的创建权限。
• 其他集群：在将集群接入HSS的过程中，您已将表4所示资源的创建权限授予HSS，在创建扫描时需要您知情并同意HSS创建资源。查看HSS拥有的集群资源权限请参见查看集群节点列表和权限列表。

后续操作

待扫描任务执行完成后，请查看并清理集群环境安全风险项，具体操作请参见查看并处理集群环境安全风险。