Serverless资产安全风险概述

什么是Serverless资产安全风险

在CCE Autopilot、CCI等无服务器计算场景中，为您提供了一套覆盖Serverless全生命周期的安全防护体系。支持Serverless资产自动盘点、漏洞扫描、运行时入侵检测等功能，为集群、工作负载、实例等核心资产筑牢安全防线，全面保障云上无服务器架构应用的安全与稳定。

系统漏洞扫描原理

企业主机安全通过获取Kubernetes集群控制面、数据面以及镜像仓库的核心组件正在使用的容器镜像，对其容器镜像系统漏洞扫描。当前能够扫描的集群组件请参见表1。

如果您集群中的以上组件不是以容器方式运行或者集群网络不可达，暂不支持集群核心组件的系统漏洞扫描。

当前系统漏洞扫描支持扫描的Linux操作系统及版本请参见漏洞扫描和修复支持的操作系统。

应用漏洞扫描原理

Kubernetes集群搭建方式包括镜像方式和二进制方式。基于镜像的搭建方式，Kubernetes核心组件等被打包成镜像，以容器形式部署在节点上；基于二进制软件的搭建方式，Kubernetes核心组件是通过二进制可执行文件（非容器镜像），通过手动配置系统服务管理组件运行。

• 容器镜像应用漏洞扫描

  企业主机安全通过获取Kubernetes集群控制面、数据面以及镜像仓库的核心组件正在使用的容器镜像，对其容器镜像应用漏洞扫描。当前能够扫描的集群组件请参见表2。

  表2 HSS扫描的集群组件

  命名空间	组件名称
  kube-system	kube-apiserver、kube-controller-manager、kube-scheduler、etcd、kube-proxy、coredns、metrics-server、calico/node、weaveworks/weave-kube
  goharbor	harbor-core、harbor-portal、harbor-registry、harbor-jobservice、trivy-adapter、redis、PostgreSQL
  docker.bintray.io	artifactory-pro、fluentd、bitnami/nginx
  releases.jfrog.io	artifactory-pro、xray-server、pipelines、distribution

  如果您集群中的以上组件不是以容器方式运行或者集群网络不可达，暂不支持集群核心组件的应用扫描。

  当前支持扫描的应用/中间件包括log4j、slf4j、tomcat、apache、jetty、mysql、druid、commons、spring、shiro、struts、struts2、websocket、json、fastjson、xstream、maven、junit、activemq、libintl、ca-certificates-java、httpclient、httpcore、java、javac2、javaee、Apache2、adaptive_server_enterprise、DB2、http_server、Memcached、nginx、PostgreSQL、bootstrap、zookeeper、plexus-utils、core。

• 二进制文件应用漏洞扫描

  企业主机安全通过获取Kubernetes关键组件的二进制文件进行应用漏洞扫描，扫描覆盖的核心组件包括kube-apiserver kube-controller-manager kubelet kube-proxy kube-scheduler、etcd、cni-plugins。