[发明专利]一种基于CIS基准的Kubernetes安全加固系统及方法有效
| 申请号: | 202010472757.6 | 申请日: | 2020-05-28 |
| 公开(公告)号: | CN111737699B | 公开(公告)日: | 2022-05-31 |
| 发明(设计)人: | 杨金林 | 申请(专利权)人: | 苏州浪潮智能科技有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F21/60 |
| 代理公司: | 济南诚智商标专利事务所有限公司 37105 | 代理人: | 李修杰 |
| 地址: | 215100 江苏省苏州市吴*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 cis 基准 kubernetes 安全 加固 系统 方法 | ||
本发明公开了一种基于CIS基准的Kubernetes安全加固系统及方法,所述系统包括:输入命令解析模块,用于解析输入的命令参数,确定加载对应的配置文件;配置文件解析模块,用于解析CIS安全基准的配置文件;自动安全扫描模块,用于根据解析的配置文件,执行扫描命令;分片集中备份模块,用于将待加固的分片内容加密存储;自动安全加固模块,用于根据分片集中备份模块的输出,执行加固命令;分片集中校验模块,用于校验及解密待回退的分片内容;自动安全回退模块,用于根据分片集中校验模块的输出,执行回退命令;输出模块,用于集成输出运行结果。本发明能够解决现有工具缺乏自动加固及回退功能的问题,保证Kubernetes集群的安全部署和运行。
技术领域
本发明涉及软件安全领域,具体涉及一种基于CIS基准的Kubernetes安全加固系统及方法。
背景技术
随着容器云平台应用规模越来越大,领域越来越广,做为其基础的Kubernetes集群的安全性越来越受重视,强化Kubernetes集群的安全合规成为了一种必然趋势。
目前,业界主要是按照CIS(Center for Internet Security,互联网安全中心)安全基线对Kubernetes集群进行安全扫描,主要的工具有Kube-bench和Kubernetes-cis-benchmark,其中Kube-bench大约能扫描出Kubernetes集群中95%的配置缺陷。但这些工具都只提供了扫描功能,对于告警项只能手动加固,若手动加固后存在问题则必须逐个手动回退,维护工作量大,效率极低。
发明内容
为了解决上述技术问题,本发明提出了一种基于CIS基准的Kubernetes安全加固系统及方法,解决现有工具缺乏自动加固及回退功能的问题,保证Kubernetes集群的安全部署和运行。
为实现上述目的,本发明采用以下技术方案:
一种基于CIS基准的Kubernetes安全加固系统,包括:
输入命令解析模块,用于解析输入的命令参数,确定加载对应的配置文件;
配置文件解析模块,用于解析CIS安全基准的配置文件;
自动安全扫描模块,用于根据解析的配置文件,执行扫描命令;
分片集中备份模块,用于将待加固的分片内容加密存储;
自动安全加固模块,用于根据分片集中备份模块的输出,执行加固命令;
分片集中校验模块,用于校验及解密待回退的分片内容;
自动安全回退模块,用于根据分片集中校验模块的输出,执行回退命令;
输出模块,用于集成输出运行结果。
进一步地,所述输入的命令参数包括:主节点、工作节点、扫描、加固、回退、密码口令参数和指定配置项。
进一步地,所述配置文件采用YAML格式按照CIS基准组织内容,包括配置项ID、扫描、加固需要的命令及基本描述。
进一步地,所述扫描命令、加固命令、回退命令均并行执行。
进一步地,所述输出模块输出的运行结果以YAML格式输出。
进一步地,输出的扫描命令运行结果和加固命令运行结果作为系统加载和解析的配置文件。
本发明还提出了一种基于CIS基准的Kubernetes安全加固方法,包括:
输入命令参数,确定加载对应的配置文件;
解析配置文件;
执行自动安全扫描,输出扫描报告;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于苏州浪潮智能科技有限公司,未经苏州浪潮智能科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010472757.6/2.html,转载请声明来源钻瓜专利网。
