嵌入式开发交流网论坛

标题: KubeArmor：一个针对容器的运行时安全检查系统 [打印本页]

作者: 416703235 时间: 2021-5-19 10:23
标题: KubeArmor：一个针对容器的运行时安全检查系统
[attach]61048[/attach]
KubeArmor介绍KubeArmor是一个支持容器的运行时安全实施系统，它可以从系统级别限制容器的行为（如进程执行、文件访问、网络操作和资源利用率）。
KubeArmor使用Linux安全模块（LSM）运行，这意味着如果Linux内核中启用了Linux安全模块（例如AppArmor、SELinux或KRSI），它将可以在任何Linux平台（如Alpine、Ubuntu和Google的容器优化操作系统）上运行。KubeArmor将使用适当的LSM来执行所需的策略。
KubeArmor是为Kubernetes环境设计的，因此研究人员只需定义安全策略并将其应用于Kubernetes即可。接下来，KubeArmor将自动检测来自Kubernetes的安全策略更改，并将其强制执行到相应的容器中，而无需任何人为干预。
如果检测到了任何违反安全策略的行为，KubeArmor会立即生成具有容器标识的审核日志。如果研究人员还使用了其他日志记录系统，也会自动将审计日志发送至他们的系统中。
[attach]61049[/attach]
功能性概览

系统级别限制容器行为
在运行时对容器强制执行安全策略
生成支持容器的安全审计日志
为策略定义提供易于使用的语义
支持容器间的网络安全实施

工具部署KubeArmor目前支持自管理的Kubernetes和Google Kubernetes Engine (GKE)，此后还将支持Amazon Elastic Kubernetes Service (EKS)和Azure Kubernetes Service (AKS)。
根据你的环境，可以选择以下选项之一：
$cddeployments/generic-docker(generic-docker) $ kubectl apply -f .$cddeployments/generic-containerd$cddeployments/microk8s在GKE中部署KubeArmor：
$cddeployments/GKE针对容器的安全策略定义severity:[1-10]tag:# --> optional- [tag]-path:[absolute executable path]- dir: [absolute directory path]-dir:[absolute directory path]recursive:[true|false] # --> optionalownerOnly: [true|false]# --> optional-path:[absolute exectuable path]-path:[absolute file path]readOnly:[true|false] # --> optionalaction:[Audit|Allow|Block|AllowWithAudit|BlockWithAudit]许可证协议本项目的开发与发布遵循Apache V2.0开源许可证协议，基于eBPF的容器监控器基于GPL V2.0开源许可证协议。

欢迎光临嵌入式开发交流网论坛 (http://www.dianzixuexi.com/bbs/)