Vesta v1.0.2 发布,一款实用的云原生基线安全检查工具

时间:2023-01-02 08:08:00

Vesta是一款实用、方便的镜像扫描以及Docker、Kubernetes基线安全检查工具。 致力检查因为Docker或Kubernetes错误配置而导致的各种潜在安全问题的发生。

Vesta v1.0.2更新内容如下:

新功能

  • 增加cilium版本漏洞检测
  • 增加kubelet read-only-port参数以及kubectl proxy的错误使用的检测
  • 增加etcd安全配置的检测
  • 增加RoleBinding安全配置的检测
  • 镜像扫描增加go二进制检测

改进

  • 优化Layers整合的方法,镜像扫描速度加快

目前vesta支持的Kubernets安全检查配置列表为

Supported Check Item Description Severity
PrivilegeAllowed 危险的特权模式 critical
Capabilities 危险capabilities被设置 critical
PV and PVC PV 被挂载到敏感目录并且状态为active critical/medium
RBAC K8s 权限存在危险配置 high/medium
Kubernetes-dashborad 检查 -enable-skip-login以及 dashborad的账户权限 critical/high/low
Kernel version (k8s versions is less than v1.24) 当前内核版本存在逃逸漏洞 critical
Docker Server version (k8s versions is less than v1.24) Docker Server版本存在漏洞 critical/high/medium/low
Kubernetes certification expiration 证书到期时间小于30天 medium
ConfigMap and Secret check ConfigMap 或者 Secret是否存在弱密码 high/medium
Auto Mount ServiceAccount Token Pod默认挂载了 /var/run/secrets/kubernetes.io/serviceaccount/token. low
NoResourceLimits 没有限制资源的使用,例如CPU,Memory, 存储 low
Job and Cronjob Job或CronJob没有设置seccomp或seLinux安全策略 low
Envoy admin Envoy admin被配置以及监听0.0.0.0. high/medium
CVE-2022-29179 检测CVE-2022-29179是否存在 high
Kubelet 10255 and Kubectl proxy 10255 port 打开或 Kubectl proxy开启 high/medium/low
Etcd configuration Etcd 安全配置检查 high/medium

 

同时针对镜像Layer整合方法做了大致对比,文章如下

关于vesta与trivy、clair的镜像扫描方法分析