OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

Red Hat Advanced Cluster Security Cloud Service 架构 (Red Hat Advanced Cluster Security Cloud Service architecture)

了解 Red Hat Advanced Cluster Security Cloud Service (RHACS Cloud Service) 架构和概念。(Discover Red Hat Advanced Cluster Security Cloud Service (RHACS Cloud Service) architecture and concepts.)

Red Hat Advanced Cluster Security Cloud Service 架构概述 (Red Hat Advanced Cluster Security Cloud Service architecture overview)

Red Hat Advanced Cluster Security Cloud Service (RHACS Cloud Service) 是 Red Hat 托管的软件即服务 (SaaS) 平台,可让您在构建、部署和运行时生命周期中保护您的 Kubernetes 和 OpenShift Container Platform 集群和应用程序。(Red Hat Advanced Cluster Security Cloud Service (RHACS Cloud Service) is a Red Hat managed Software-as-a-Service (SaaS) platform that lets you protect your Kubernetes and OpenShift Container Platform clusters and applications throughout the build, deploy, and runtime lifecycles.)

RHACS Cloud Service 包含许多内置的 DevOps 强制控制和安全最佳实践,这些最佳实践基于行业标准,例如互联网安全中心 (CIS) 基准和国家标准与技术研究院 (NIST) 指南。您还可以将其与现有的 DevOps 工具和工作流程集成,以提高安全性和合规性。(RHACS Cloud Service includes many built-in DevOps enforcement controls and security-focused best practices based on industry standards such as the Center for Internet Security (CIS) benchmarks and the National Institute of Standards Technology (NIST) guidelines. You can also integrate it with your existing DevOps tools and workflows to improve security and compliance.)

RHACS 云服务架构

下图显示了包含 StackRox 扫描程序和扫描程序 V4 的架构。扫描程序 V4 的安装是可选的,但可以提供额外的好处。(The following graphic shows the architecture with the StackRox Scanner and Scanner V4. Installation of Scanner V4 is optional, but provides additional benefits.)

RHACS Cloud Service

中心服务包括用户界面 (UI)、数据存储、RHACS 应用程序编程接口 (API) 和镜像扫描功能。您可以通过 Red Hat 混合云控制台 部署您的中心服务。创建新的 ACS 实例时,Red Hat 会为您创建单独的 RHACS 控制平面。(Central services include the user interface (UI), data storage, RHACS application programming interface (API), and image scanning capabilities. You deploy your Central service through the Red Hat Hybrid Cloud Console. When you create a new ACS instance, Red Hat creates your individual control plane for RHACS.)

RHACS Cloud Service 允许您保护与中心实例通信的自管理集群。您保护的集群(称为安全集群)由您管理,而不是由 Red Hat 管理。安全集群服务包括可选的漏洞扫描服务、准入控制服务和用于运行时监控和合规性的数据收集服务。您可以将安全集群服务安装在您想要保护的任何 OpenShift 或 Kubernetes 集群上。(RHACS Cloud Service allows you to secure self-managed clusters that communicate with a Central instance. The clusters you secure, called Secured Clusters, are managed by you, and not by Red Hat. Secured Cluster services include optional vulnerability scanning services, admission control services, and data collection services used for runtime monitoring and compliance. You install Secured Cluster services on any OpenShift or Kubernetes cluster you want to secure.)

中心组件

Red Hat 管理着 Central,它是 RHACS 云服务的控制平面。这些服务包括以下组件:

  • Central:Central 是 RHACS 应用程序管理界面和服务。它处理 API 交互和用户界面 (RHACS 门户) 访问。

  • Central 数据库 (Central DB):Central 数据库是 RHACS 的数据库,处理所有数据持久化。它目前基于 PostgreSQL 13。

  • 扫描器 V4 (Scanner V4):从 4.4 版本开始,RHACS 包含用于扫描容器镜像的扫描器 V4 漏洞扫描器。扫描器 V4 基于 ClairCore,它也为 Clair 扫描器提供支持。扫描器 V4 包括索引器、匹配器和扫描器 V4 数据库组件,这些组件用于扫描。

  • StackRox 扫描器 (StackRox Scanner):StackRox 扫描器是 RHACS 中的默认扫描器。StackRox 扫描器源自 Clair v2 开源扫描器的分支。

  • 扫描器数据库 (Scanner-DB):此数据库包含 StackRox 扫描器的相关数据。

RHACS 扫描器分析每个镜像层以确定基本操作系统并识别由操作系统包管理器安装的编程语言包和包。它们将发现结果与来自各种漏洞来源的已知漏洞进行匹配。此外,StackRox 扫描器还会识别节点操作系统和平台中的漏洞。这些功能计划在未来的版本中添加到扫描器 V4。

漏洞数据源

漏洞的来源取决于系统中使用的扫描器。RHACS 包含两个扫描器:StackRox 扫描器和扫描器 V4。StackRox 扫描器是默认扫描器,从 4.6 版本开始弃用。扫描器 V4 在 4.4 版本中引入,是推荐的镜像扫描器。

StackRox 扫描器数据源

StackRox 扫描器使用以下漏洞源:

扫描器 V4 数据源

扫描器 V4 使用以下漏洞源:

Red Hat VEX

在 4.6 及更高版本中使用。此数据源以 漏洞可利用性交换 (VEX) 格式提供漏洞数据。RHACS 利用 VEX 的优势,显著减少了初始加载漏洞数据所需的时间和存储漏洞数据所需的空间。

当您使用使用 OVAL 的 RHACS 版本(例如 RHACS 4.5 版本)和使用 VEX 的版本(例如 4.6 版本)进行扫描时,RHACS 可能列出的漏洞数量不同。例如,RHACS 不再显示状态为“正在调查”的漏洞,而这些漏洞包含在以前使用 OVAL 数据的版本中。

有关 Red Hat 安全数据的更多信息,包括有关使用 OVAL、通用安全咨询框架版本 2.0 (CSAF) 和 VEX 的信息,请参阅 Red Hat 安全数据的未来

Red Hat CVE 映射

这与 VEX 数据一起用于出现在 Red Hat 容器目录 中的镜像。

OSV

这用于语言相关的漏洞,例如 Go、Java、JavaScript、Python 和 Ruby。此数据源可能为漏洞提供 CVE ID 以外的漏洞 ID,例如 GitHub 安全咨询 (GHSA) ID。

RHACS 使用可在 OSV.dev 上获得的 OSV 数据库,该数据库根据 Apache License 2.0 许可。
NVD

这用于各种目的,例如在供应商未提供信息时填补信息空白。例如,Alpine 没有提供描述、CVSS 分数、严重性或发布日期。

本产品使用 NVD API,但未经 NVD 认可或认证。
其他漏洞来源
扫描器 V4 索引器数据源

扫描器 V4 索引器使用以下文件来索引 Red Hat 容器:

安全集群服务

您可以使用 Red Hat Advanced Cluster Security Cloud Service 在要保护的每个集群上安装安全集群服务。安全集群服务包括以下组件:

  • 传感器 (Sensor):传感器是负责分析和监控集群的服务。传感器侦听 OpenShift Container Platform 或 Kubernetes API 和 Collector 事件以报告集群的当前状态。传感器还会根据 RHACS 云服务策略触发部署时和运行时违规。此外,传感器还负责所有集群交互,例如应用网络策略、启动 RHACS 云服务策略的重新处理以及与准入控制器交互。

  • 准入控制器 (Admission controller):准入控制器阻止用户创建违反 RHACS 云服务中安全策略的工作负载。

  • 收集器 (Collector):收集器分析和监控集群节点上的容器活动。它收集容器运行时和网络活动信息并将收集的数据发送给传感器。

  • StackRox 扫描器 (StackRox Scanner):在 Kubernetes 中,安全集群服务包括 Scanner-slim 作为可选组件。但是,在 OpenShift Container Platform 上,RHACS 云服务会在每个安全集群上安装 Scanner-slim 版本以扫描 OpenShift Container Platform 集成注册表以及可选的其他注册表中的镜像。

  • 扫描器数据库 (Scanner-DB):此数据库包含 StackRox 扫描器的相关数据。

  • 扫描器 V4 (Scanner V4):如果启用,则会在安全集群上安装扫描器 V4 组件。

    • 扫描器 V4 索引器 (Scanner V4 Indexer):扫描器 V4 索引器执行镜像索引,以前称为镜像分析。给定镜像和注册表凭据,索引器会从注册表中提取镜像。它查找基本操作系统(如果存在)并查找包。它存储并输出索引报告,其中包含给定镜像的发现结果。

    • 扫描器 V4 数据库 (Scanner V4 DB):如果启用扫描器 V4,则会安装此组件。此数据库存储扫描器 V4 的信息,包括索引报告。为了获得最佳性能,请为扫描器 V4 数据库配置持久卷声明 (PVC)。

      当安全集群服务与 Central 服务安装在同一集群和同一命名空间中时,安全集群服务不会部署扫描器 V4 组件。相反,假设 Central 服务已经包含扫描器 V4 的部署。
其他资源

数据访问和权限

Red Hat 无权访问您安装安全集群服务的集群。此外,RHACS 云服务不需要访问安全集群的权限。例如,您不需要创建新的 IAM 策略、访问角色或 API 令牌。

但是,RHACS 云服务会存储安全集群服务发送的数据。所有数据都在 RHACS 云服务内加密。在 RHACS 云服务平台内加密数据有助于确保数据的机密性和完整性。

当您在集群上安装安全集群服务时,它会生成数据并将其传输到 RHACS 云服务。这些数据在 RHACS 云服务平台内保持安全,只有授权的 SRE 团队成员和系统才能访问这些数据。RHACS 云服务使用这些数据来监控集群和应用程序的安全性和合规性,并提供有价值的洞察和分析,以帮助您优化部署。