security-inspector - 容器服务 Kubernetes 版 ACK

security-inspector组件是实现安全巡检功能的关键组件。本文将介绍security-inspector组件的功能、使用说明和变更记录。

组件介绍

security-inspector组件支持对Workload配置进行多维度扫描，帮助您实时了解当前状态下应用是否有安全隐患。security-inspector组件的架构如下图所示。

使用说明

security-inspector组件目前支持安全的配置巡检功能。

security-inspector组件通过支持使用Polaris进行配置巡检，让您可以实时扫描集群中的Workload配置是否存在安全隐患。
说明
Polaris是一款用于扫描集群中Workload配置是否有安全隐患的开源软件。详情请参见Polaris。
security-inspector组件可以对Workload配置进行多维度扫描，并可以在巡检报告中查看巡检扫描结果，包括健康检查、镜像、网络、资源、安全等扫描信息。让您实时了解当前状态下运行应用的配置是否有安全隐患，并提供相应的安全修复建议方便进行相应的加固。详情请参见配置巡检检查集群工作负载。

变更记录

2024年10月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.15.0.0-g4218661-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.15.0.0-g4218661-aliyun	2024年10月10日	支持检查是否在环境变量中存储了明文AK。	此次升级不会对业务造成影响。

2024年08月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.14.1.0-g829a93d-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.14.1.0-g829a93d-aliyun	2024年08月01日	版本兼容改造。	此次升级不会对业务造成影响。

2024年07月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.14.0.0-gfc02c67-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.14.0.0-gfc02c67-aliyun	2024年07月26日	从这个版本开始，组件改为在security-inspector命名空间执行巡检任务。	此次升级不会对业务造成影响。

2024年03月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.13.0.0-g88dfa8f-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.13.0.0-g88dfa8f-aliyun	2024年03月26日	RBAC相关巡检内容扩展，包括通配符检测、cluster-admin检测、集群默认配置篡改（system:basic-user, system:discovery, system:public-info-viewer）等。	此次升级不会对业务造成影响。

2024年02月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.12.0.7-g6f9d47f-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.12.0.7-g6f9d47f-aliyun	2024年02月21日	新增支持在组件管理页面配置组件是否使用主机网络以及修改健康检查服务监听的端口。	此次升级不会对业务造成影响。

2023年12月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.11.0.3-ga2fad87-aliyun	registry-cn-hangzhou.ack.aliyuncs.com/acs/security-inspector:v0.11.0.3-ga2fad87-aliyun	2023年12月21日	新增组件升级时将保留用户对security-inspector-polaris-cronjob的ttlSecondsAfterFinished配置项的修改。	此次升级不会对业务造成影响。

2023年06月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.10.1.2-g13c9de7-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.10.1.2-g13c9de7-aliyun	2023年06月02日	修复集群升级到1.26.3-aliyun.1版本后组件功能异常的问题。优化定期扫描逻辑，确保每次只执行一个任务，避免集群内出现多个状态为Pending的任务Pod。	此次升级不会对业务造成影响。

2023年04月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.10.0.3-g15b35c4-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.10.0.3-g15b35c4-aliyun	2023年04月13日	新增支持Kubernetes 1.26。	此次升级不会对业务造成影响。

2023年02月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.9.1.0-gcdddfa7-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.9.1.0-gcdddfa7-aliyun	2023年02月27日	修复组件镜像使用的基础镜像中存在的CVE-2023-0286。	此次升级不会对业务造成影响。

2022年12月

版本号

镜像地址

变更时间

变更内容

变更影响

v0.9.0.0-g1d38ec6-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.9.0.0-g1d38ec6-aliyun

2022年12月22日

新增支持1.18及以上版本的ACK Serverless集群。
支持通过重启组件容器的方式自动修复被误删的SLS面板。

此次升级不会对业务造成影响。

v0.8.3.2-ge5496db-aliyun

registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.3.2-ge5496db-aliyun

2022年12月13日

当前处于灰度发布中。

优化程序初始化速度，解决组件安装成功后需要等待几分钟才能成功执行巡检的问题。

此次升级不会对业务造成影响。

2022年08月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.8.3.1-gf7bf0e0-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.3.1-gf7bf0e0-aliyun	2022年08月30日	优化`SecurityInspectorConfigAuditHighRiskFound`和`SecurityInspectorConfigAuditFinished`事件的消息内容，增加详细信息的查看链接。	此次升级不会对业务造成影响。

2022年06月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.8.2.16-gc84d60d-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.2.16-gc84d60d-aliyun	2022年06月21日	修复在Kubernetes 1.22集群中可能会出现`MountVolume.SetUp failed for volume "config" : object "kube-system"/"security-inspector-polaris-config" not registered`事件的问题。优化组件对API Server的请求，进一步减轻大规模集群下API Server的压力。	此次升级不会对业务造成影响。

2022年04月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.8.1.0-g58d1a56-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.1.0-g58d1a56-aliyun	2022年04月11日	修复组件配置不合理导致Pod所在的节点无法自动排水的问题。修复当多个集群使用相同的日志项目时，出现巡检报告异常的问题。	此次升级不会对业务造成影响。

2022年02月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.8.0.0-gb0edd1d-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.8.0.0-gb0edd1d-aliyun	2022年02月15日	调整检查项`privilegeEscalationAllowed`的风险等级为中。优化对Kubernetes 1.16集群的支持功能，修复 #84880导致的问题。	此次升级不会对业务造成影响。

2021年12月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.7.0.5-g8cc37b6-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.7.0.5-g8cc37b6-aliyun	2021年12月03日	支持Kubernetes 1.22版。从该组件版本之后将只支持Kubernetes 1.16及以上版本的集群。支持ARM64架构。	此次升级不会对业务造成影响。

2021年09月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.6.0.4-gc12ad66-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.6.0.4-gc12ad66-aliyun	2021年09月20日	支持扫描CIS Kubernetes V1.20 Benchmark v1.0.0基线。优化capabilitiesAdded检查项，检查capabilities时不区分大小写。更多信息，请参见配置巡检检查集群工作负载。	此次升级不会对业务造成影响。

2021年06月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.5.0.2-g5e33765-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.5.0.2-g5e33765-aliyun	2021年06月24日	解决多个集群使用同一个SLS Project时会出现报表数据显示异常的问题。	此次升级不会对业务造成影响。

2021年03月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.4.0.0-g541eb31-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.4.0.0-g541eb31-aliyun	2021年03月15日	支持CIS Kubernetes基线检查。新增以下Kubernetes事件（当您触发扫描时，可以在事件中心看到相应事件）： SecurityInspectorConfigAuditStart：开始执行配置巡检。 SecurityInspectorConfigAuditFinished：配置巡检完成。 SecurityInspectorConfigAuditHighRiskFound：配置巡检完成后发现高风险配置。 SecurityInspectorBenchmarkStart：开始执行基线检查。 SecurityInspectorBenchmarkFinished：执行基线检查完成。 SecurityInspectorBenchmarkFailedCheckFound：执行基线检查完成后发现未通过的计分检查项。	此次升级不会对业务造成影响。

2021年01月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.3.0.2-gcb49252-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.3.0.2-gcb49252-aliyun	2021年01月05日	支持通过扫描匿名用户访问权限配置找出存在安全隐患的RBAC（Role-based access control）权限配置项。	此次升级不会对业务造成影响。

2020年12月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.2.0.22-gd1fbaff-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.2.0.22-gd1fbaff-aliyun	2020年12月16日	支持以CRD（Custom Resource Definitions）方式存储最新巡检结果。支持启用或禁用指定检查项。支持配置工作负载白名单。	此次升级不会对业务造成影响。

2020年07月

版本号	镜像地址	变更时间	变更内容	变更影响
v0.1.0.3-g69f71f6-aliyun	registry.cn-hangzhou.aliyuncs.com/acs/security-inspector:v0.1.0.3-g69f71f6-aliyun	2020年07月06日	支持手动触发配置巡检任务，对集群中的Workload进行检查并输出相应的巡检报告。	此次升级不会对业务造成影响。