security-inspector组件是实现安全巡检功能的关键组件。本文您介绍security-inspector组件的功能、使用说明和变更记录。
组件介绍
security-inspector组件支持对Workload配置进行多维度扫描,帮助您实时了解当前状态下应用是否有安全隐患。security-inspector组件的架构如下图所示。
使用说明
security-inspector组件目前支持安全的配置巡检功能。
- security-inspector组件通过支持使用Polaris进行配置巡检,让您可以实时扫描集群中的Workload配置是否存在安全隐患。
说明 Polaris是一款用于扫描集群中Workload配置是否有安全隐患的开源软件。详情请参见
Polaris。
- security-inspector组件可以对Workload配置进行多维度扫描,并可以在巡检报告中查看巡检扫描结果,包括健康检查、镜像、网络、资源、安全等扫描信息。让您实时了解当前状态下运行应用的配置是否有安全隐患,并提供相应的安全修复建议方便进行相应的加固。详情请参见使用配置巡检检查集群Workload安全隐患。
变更记录
2023年04月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.10.0.3-g15b35c4-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.10.0.3-g15b35c4-aliyun | 2023年04月13日 | 当前处于灰度发布中。 支持Kubernetes 1.26。 | 此次升级不会对业务造成影响。 |
2023年02月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.9.1.0-gcdddfa7-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.9.1.0-gcdddfa7-aliyun | 2023年02月27日 | 修复组件镜像使用的基础镜像中存在的CVE-2023-0286。 | 此次升级不会对业务造成影响。 |
2022年12月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.9.0.0-g1d38ec6-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.9.0.0-g1d38ec6-aliyun | 2022年12月22日 | - 新增支持1.18及以上版本的ASK集群。
- 支持通过重启组件容器的方式自动修复被误删的SLS面板。
| 此次升级不会对业务造成影响。 |
| v0.8.3.2-ge5496db-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.3.2-ge5496db-aliyun | 2022年12月13日 | 当前处于灰度发布中。 优化程序初始化速度,解决组件安装成功后需要等待几分钟才能成功执行巡检的问题。 | 此次升级不会对业务造成影响。 |
2022年08月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.8.3.1-gf7bf0e0-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.3.1-gf7bf0e0-aliyun | 2022年08月30日 | 优化SecurityInspectorConfigAuditHighRiskFound和SecurityInspectorConfigAuditFinished事件的消息内容,增加详细信息的查看链接。 | 此次升级不会对业务造成影响。 |
2022年06月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.8.2.16-gc84d60d-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.2.16-gc84d60d-aliyun | 2022年06月21日 | - 修复在Kubernetes 1.22集群中可能会出现
MountVolume.SetUp failed for volume "config" : object "kube-system"/"security-inspector-polaris-config" not registered事件的问题。 - 优化组件对API Server的请求,进一步减轻大规模集群下API Server的压力。
| 此次升级不会对业务造成影响。 |
2022年04月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.8.1.0-g58d1a56-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.1.0-g58d1a56-aliyun | 2022年04月11日 | - 修复组件配置不合理导致Pod所在的节点无法自动排水的问题。
- 修复当多个集群使用相同的日志项目时,出现巡检报告异常的问题。
| 此次升级不会对业务造成影响。 |
2022年02月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.8.0.0-gb0edd1d-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.0.0-gb0edd1d-aliyun | 2022年02月15日 | - 调整检查项
privilegeEscalationAllowed的风险等级为中。 - 优化对Kubernetes 1.16集群的支持功能,修复 #84880导致的问题。
| 此次升级不会对业务造成影响。 |
2021年12月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.7.0.5-g8cc37b6-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.7.0.5-g8cc37b6-aliyun | 2021年12月03日 | - 支持Kubernetes 1.22版。从该组件版本之后将只支持Kubernetes 1.16及以上版本的集群。
- 支持ARM64架构。
| 此次升级不会对业务造成影响。 |
2021年09月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.6.0.4-gc12ad66-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.6.0.4-gc12ad66-aliyun | 2021年09月20日 | - 支持扫描CIS Kubernetes V1.20 Benchmark v1.0.0基线。更多信息,请参见安全巡检。
- 优化capabilitiesAdded检查项,检查capabilities时不区分大小写。更多信息,请参见使用配置巡检检查集群Workload安全隐患。
| 此次升级不会对业务造成影响。 |
2021年06月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.5.0.2-g5e33765-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.5.0.2-g5e33765-aliyun | 2021年06月24日 | 解决多个集群使用同一个SLS Project时会出现报表数据显示异常的问题。 | 此次升级不会对业务造成影响。 |
2021年03月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.4.0.0-g541eb31-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.4.0.0-g541eb31-aliyun | 2021年03月15日 | - 支持CIS Kubernetes基线检查。更多信息,请参见安全巡检。
- 新增以下Kubernetes事件(当您触发扫描时,可以在事件中心看到相应事件):
- SecurityInspectorConfigAuditStart:开始执行配置巡检。
- SecurityInspectorConfigAuditFinished:配置巡检完成。
- SecurityInspectorConfigAuditHighRiskFound:配置巡检完成后发现高风险配置。
- SecurityInspectorBenchmarkStart:开始执行基线检查。
- SecurityInspectorBenchmarkFinished:执行基线检查完成。
- SecurityInspectorBenchmarkFailedCheckFound:执行基线检查完成后发现未通过的计分检查项。
| 此次升级不会对业务造成影响。 |
2021年01月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.3.0.2-gcb49252-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.3.0.2-gcb49252-aliyun | 2021年01月05日 | 支持通过扫描匿名用户访问权限配置找出存在安全隐患的RBAC(Role-based access control)权限配置项。 | 此次升级不会对业务造成影响。 |
2020年12月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.2.0.22-gd1fbaff-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.2.0.22-gd1fbaff-aliyun | 2020年12月16日 | - 支持以CRD(Custom Resource Definitions)方式存储最新巡检结果。
- 支持启用或禁用指定检查项。
- 支持配置工作负载白名单。
| 此次升级不会对业务造成影响。 |
2020年07月
| 版本号 | 镜像地址 | 变更时间 | 变更内容 | 变更影响 |
|---|
| v0.1.0.3-g69f71f6-aliyun | registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.1.0.3-g69f71f6-aliyun | 2020年07月06日 | 支持手动触发配置巡检任务,对集群中的Workload进行检查并输出相应的巡检报告。 | 此次升级不会对业务造成影响。 |