security-inspector - Container Service for Kubernetes

security-inspector組件是實現安全巡檢功能的關鍵組件。本文將介紹security-inspector組件的功能、使用說明和變更記錄。

組件介紹

security-inspector組件支援對Workload配置進行多維度掃描，協助您即時瞭解目前狀態下應用是否有安全隱患。security-inspector組件的架構如下圖所示。

使用說明

security-inspector組件目前支援安全的配置巡檢功能。

security-inspector組件通過支援使用Polaris進行配置巡檢，讓您可以即時掃描叢集中的Workload配置是否存在安全隱患。
說明
Polaris是一款用於掃描叢集中Workload配置是否有安全隱患的開源軟體。詳情請參見Polaris。
security-inspector組件可以對Workload配置進行多維度掃描，並可以在巡檢報告中查看巡檢掃描結果，包括健全狀態檢查、鏡像、網路、資源、安全等掃描資訊。讓您即時瞭解目前狀態下運行應用的配置是否有安全隱患，並提供相應的安全修複建議方便進行相應的加固。詳情請參見配置巡檢檢查叢集工作負載。

變更記錄

2024年10月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.15.0.0-g4218661-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.15.0.0-g4218661-aliyun	2024年10月10日	支援檢查是否在環境變數中儲存了明文AK。	此次升級不會對業務造成影響。

2024年08月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.14.1.0-g829a93d-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.14.1.0-g829a93d-aliyun	2024年08月01日	版本相容改造。	此次升級不會對業務造成影響。

2024年07月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.14.0.0-gfc02c67-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.14.0.0-gfc02c67-aliyun	2024年07月26日	從這個版本開始，組件改為在security-inspector命名空間執行巡檢任務。	此次升級不會對業務造成影響。

2024年03月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.13.0.0-g88dfa8f-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.13.0.0-g88dfa8f-aliyun	2024年03月26日	RBAC相關巡檢內容擴充，包括萬用字元檢測、cluster-admin檢測、叢集預設配置篡改（system:basic-user, system:discovery, system:public-info-viewer）等。	此次升級不會對業務造成影響。

2024年02月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.12.0.7-g6f9d47f-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.12.0.7-g6f9d47f-aliyun	2024年02月21日	新增支援在組件管理頁面配置組件是否使用主機網路以及修改健全狀態檢查服務監聽的連接埠。	此次升級不會對業務造成影響。

2023年12月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.11.0.3-ga2fad87-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.11.0.3-ga2fad87-aliyun	2023年12月21日	新增組件升級時將保留使用者對security-inspector-polaris-cronjob的ttlSecondsAfterFinished配置項的修改。	此次升級不會對業務造成影響。

2023年06月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.10.1.2-g13c9de7-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.10.1.2-g13c9de7-aliyun	2023年06月02日	修複叢集升級到1.26.3-aliyun.1版本後組件功能異常的問題。最佳化定期掃描邏輯，確保每次只執行一個任務，避免叢集內出現多個狀態為Pending的任務Pod。	此次升級不會對業務造成影響。

2023年04月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.10.0.3-g15b35c4-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.10.0.3-g15b35c4-aliyun	2023年04月13日	新增支援Kubernetes 1.26。	此次升級不會對業務造成影響。

2023年02月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.9.1.0-gcdddfa7-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.9.1.0-gcdddfa7-aliyun	2023年02月27日	修複組件鏡像使用的基礎鏡像中存在的CVE-2023-0286。	此次升級不會對業務造成影響。

2022年12月

版本號碼

鏡像地址

變更時間

變更內容

變更影響

v0.9.0.0-g1d38ec6-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.9.0.0-g1d38ec6-aliyun

2022年12月22日

新增支援1.18及以上版本的ACK Serverless叢集。
支援通過重啟組件容器的方式自動修複被誤刪的SLS面板。

此次升級不會對業務造成影響。

v0.8.3.2-ge5496db-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.3.2-ge5496db-aliyun

2022年12月13日

當前處於灰階發布中。

最佳化程式初始化速度，解決組件安裝成功後需要等待幾分鐘才能成功執行巡檢的問題。

此次升級不會對業務造成影響。

2022年08月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.8.3.1-gf7bf0e0-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.3.1-gf7bf0e0-aliyun	2022年08月30日	最佳化`SecurityInspectorConfigAuditHighRiskFound`和`SecurityInspectorConfigAuditFinished`事件的訊息內容，增加詳細資料的查看連結。	此次升級不會對業務造成影響。

2022年06月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.8.2.16-gc84d60d-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.2.16-gc84d60d-aliyun	2022年06月21日	修複在Kubernetes 1.22叢集中可能會出現`MountVolume.SetUp failed for volume "config" : object "kube-system"/"security-inspector-polaris-config" not registered`事件的問題。最佳化組件對API Server的請求，進一步減輕大規模叢集下API Server的壓力。	此次升級不會對業務造成影響。

2022年04月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.8.1.0-g58d1a56-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.1.0-g58d1a56-aliyun	2022年04月11日	修複組件配置不合理導致Pod所在的節點無法自動排水的問題。修複當多個叢集使用相同的記錄項目時，出現巡檢報告異常的問題。	此次升級不會對業務造成影響。

2022年02月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.8.0.0-gb0edd1d-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.0.0-gb0edd1d-aliyun	2022年02月15日	調整檢查項`privilegeEscalationAllowed`的風險等級為中。最佳化對Kubernetes 1.16叢集的支援功能，修複 #84880導致的問題。	此次升級不會對業務造成影響。

2021年12月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.7.0.5-g8cc37b6-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.7.0.5-g8cc37b6-aliyun	2021年12月03日	支援Kubernetes 1.22版。從該組件版本之後將只支援Kubernetes 1.16及以上版本的叢集。支援ARM64架構。	此次升級不會對業務造成影響。

2021年09月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.6.0.4-gc12ad66-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.6.0.4-gc12ad66-aliyun	2021年09月20日	支援掃描CIS Kubernetes V1.20 Benchmark v1.0.0基準。最佳化capabilitiesAdded檢查項，檢查capabilities時不區分大小寫。更多資訊，請參見配置巡檢檢查叢集工作負載。	此次升級不會對業務造成影響。

2021年06月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.5.0.2-g5e33765-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.5.0.2-g5e33765-aliyun	2021年06月24日	解決多個叢集使用同一個SLS Project時會出現報表資料顯示異常的問題。	此次升級不會對業務造成影響。

2021年03月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.4.0.0-g541eb31-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.4.0.0-g541eb31-aliyun	2021年03月15日	支援CIS Kubernetes基準檢查。新增以下Kubernetes事件（當您觸發掃描時，可以在事件中心看到相應事件）： SecurityInspectorConfigAuditStart：開始執行配置巡檢。 SecurityInspectorConfigAuditFinished：配置巡檢完成。 SecurityInspectorConfigAuditHighRiskFound：配置巡檢完成後發現高風險配置。 SecurityInspectorBenchmarkStart：開始執行基準檢查。 SecurityInspectorBenchmarkFinished：執行基準檢查完成。 SecurityInspectorBenchmarkFailedCheckFound：執行基準檢查完成後發現未通過的計分檢查項。	此次升級不會對業務造成影響。

2021年01月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.3.0.2-gcb49252-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.3.0.2-gcb49252-aliyun	2021年01月05日	支援通過掃描匿名使用者存取許可權配置找出存在安全隱患的RBAC（Role-based access control）許可權配置項。	此次升級不會對業務造成影響。

2020年12月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.2.0.22-gd1fbaff-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.2.0.22-gd1fbaff-aliyun	2020年12月16日	支援以CRD（Custom Resource Definitions）方式儲存最新巡檢結果。支援啟用或禁用指定檢查項。支援配置工作負載白名單。	此次升級不會對業務造成影響。

2020年07月

版本號碼	鏡像地址	變更時間	變更內容	變更影響
v0.1.0.3-g69f71f6-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.1.0.3-g69f71f6-aliyun	2020年07月06日	支援手動觸發配置巡檢任務，對叢集中的Workload進行檢查並輸出相應的巡檢報告。	此次升級不會對業務造成影響。