HummerRisk 是一個開源的云安全治理平臺，以非侵入的方式對云原生環(huán)境進(jìn)行全面安全檢測，核心解決三個方面的問題，底層的混合云安全合規(guī)，中層的 K8s 容器云安全和上層的軟件安全。

特性

混合云安全治理

• 混合云安全合規(guī)檢測：對主流的公(私)有云資源進(jìn)行安全合規(guī)檢測，例如等保 2.0 預(yù)檢、CIS 合規(guī)檢查、各種基線檢測，同時可自定義檢測規(guī)則。
• 漏洞檢測：基于漏洞規(guī)則庫，通過掃描等手段對指定的網(wǎng)絡(luò)設(shè)備及應(yīng)用服務(wù)的安全脆弱性進(jìn)行檢測。
• 合規(guī)報告：一鍵獲取合規(guī)報告，全面掌控安全態(tài)勢。

優(yōu)勢是什么？

• 支持全面: 支持的幾乎所有公有云,包括：阿里云、騰訊云、華為云、火山引擎、百度云、青云、UCloud、Amazon Web Services、Microsoft Azure、Google Cloud，支持的私有云包括：OpenStack、VMware vSphere，并還在不斷的擴(kuò)充支持的范圍。
• 容易上手: 只需綁定云賬號，就可以一鍵執(zhí)行檢測。
• 開箱即用: 內(nèi)置大量規(guī)則，并可按需自定義規(guī)則。

K8s 容器云安全

• K8s 資源態(tài)勢：可以關(guān)聯(lián)多個 K8s 集群，統(tǒng)一查看各個關(guān)聯(lián)環(huán)境的資源態(tài)勢。
• 環(huán)境檢測：根據(jù) K8s 安全基線進(jìn)行檢測，發(fā)現(xiàn)存在的配置錯誤、安全漏洞、危險動作等內(nèi)容。
• 鏡像檢測：全面檢測鏡像相關(guān)的漏洞，包括操作系統(tǒng)、軟件包、應(yīng)用程序依賴等方面。
• 容器檢測：對運(yùn)行容器進(jìn)行掃描檢測，發(fā)現(xiàn)存在的安全問題和風(fēng)險內(nèi)容。
• 部署檢測：檢測 K8s 的部署編排文件，在部署前發(fā)現(xiàn)其中的配置問題。
• 主機(jī)檢測：可以自定義檢測內(nèi)容，發(fā)現(xiàn)底層主機(jī)/虛機(jī)中存在問題。
• 源碼檢測：檢測開發(fā)者的源代碼，提前發(fā)現(xiàn)其中的開源協(xié)議、依賴、漏洞、代碼等問題。
• SBOM 管理: SBOM 的可視化管理和分析，檢測 SBOM 的變更，快速發(fā)現(xiàn)和定位軟件供應(yīng)鏈中的風(fēng)險和漏洞，給出合理的處理建議。

優(yōu)勢是什么？

• 兼容性: 支持多種 K8s 發(fā)行版。
• 獨(dú)立性: 中立產(chǎn)品，客觀檢測。
• 無侵入：無侵入式檢測。

軟件供應(yīng)鏈安全

• 源碼檢測：檢測開發(fā)者的源代碼，提前發(fā)現(xiàn)其中的開源協(xié)議、依賴、漏洞、代碼等問題。
• 軟件依賴檢測：通過對軟件成分的分析，發(fā)現(xiàn)依賴漏洞，同時構(gòu)建 SBOM。
• 鏡像依賴檢測：檢測鏡像中的各種依賴信息，并發(fā)現(xiàn)安全漏洞。
• SBOM 管理: SBOM 可視化管理和分析，監(jiān)測 SBOM 變更，發(fā)現(xiàn)和定位軟件供應(yīng)鏈中的風(fēng)險和漏洞。

安裝

最簡單的方式只需兩步即可快速安裝 HummerRisk。準(zhǔn)備一臺不小于 4 核 8G 內(nèi)存的 64 位 Linux (建議首選 CentOS 7 以上) 主機(jī), 以 root 用戶執(zhí)行如下命令即可一鍵安裝 HummerRisk。

# 下載最新版本的安裝腳本
curl -sSL https://github.com/HummerRisk/HummerRisk/releases/latest/download/quick_start.sh -o quick_start.sh
# 執(zhí)行安裝命令
bash quick_start.sh
# 安裝完成后配置文件 /opt/hummerrisk/config/install.conf

當(dāng)然我們也可以手動部署，根據(jù)需要配置相關(guān)參數(shù)，建議使用外置的 MySQL 數(shù)據(jù)庫。

首先指定需要安裝的版本：

export hummerrisk_version=v0.2.0

然后下載對應(yīng)的安裝包：

wget https://github.com/HummerRisk/HummerRisk/releases/download/{{ hummerrisk_version }}/hummerrisk-installer-{{ hummerrisk.version }}.tar.gz

解壓安裝包：

tar -xf hummerrisk-installer-{{ hummerrisk_version }}.tar.gz
cd hummerrisk-installer-{{ hummerrisk_version }}

打開 install.conf 配置文件，根據(jù)需要修改默認(rèn)的配置文件。

$ vim install.conf
# 以下設(shè)置如果為空系統(tǒng)會自動生成隨機(jī)字符串填入
## 安裝配置
# 鏡像倉庫地址
HR_DOCKER_IMAGE_PREFIX=registry.cn-beijing.aliyuncs.com
# 數(shù)據(jù)持久化目錄
HR_BASE=/opt/hummerrisk
HR_DOCKER_DIR=/var/lib/docker
## Service web端口
HR_HTTP_PORT=${HR_HTTP_PORT}
# 當(dāng)前版本
HR_CURRENT_VERSION=v1.0
##  MySQL 數(shù)據(jù)庫配置, USE_EXTERNAL_MYSQL=1 表示使用外置數(shù)據(jù)庫, 請輸入正確的 MySQL 信息
HR_USE_EXTERNAL_MYSQL=${HR_USE_EXTERNAL_MYSQL}
HR_DB_HOST=${HR_DB_HOST}
HR_DB_PORT=${HR_DB_PORT}
HR_DB_USER=${HR_DB_USER}
HR_DB_PASSWORD=${HR_DB_PASSWORD}
HR_DB_NAME=${HR_DB_NAME}
## docker 配置
# docker 網(wǎng)段設(shè)置
HR_DOCKER_SUBNET=172.19.0.0/16
# docker 網(wǎng)關(guān) IP
HR_DOCKER_GATEWAY=172.19.0.1
## Compose 項目設(shè)置
# 項目名稱
COMPOSE_PROJECT_NAME=hr
# 超時時間
COMPOSE_HTTP_TIMEOUT=3600
# docker 客戶端超時時間
DOCKER_CLIENT_TIMEOUT=3600

配置完成后然后執(zhí)行如下所示命令開始安裝：

bash install.sh

安裝完成后使用 hrctl start 命令即可啟動。

使用

啟動完成后即可在瀏覽器中訪問其 web 服務(wù)。

默認(rèn)登錄的賬戶為: admin， 密碼為 hummer。

登錄完成后即可進(jìn)入到首頁，首頁概況性展示了檢測結(jié)果的核心信息，分為總覽、分析、活動記錄三個頁面，默認(rèn)顯示概覽頁面。

總覽頁面展示用戶數(shù)、賬號數(shù)、規(guī)則數(shù)、結(jié)果數(shù)、任務(wù)數(shù)、安全評分等信息，以及云賬號統(tǒng)計、漏洞統(tǒng)計、虛機(jī)統(tǒng)計、軟件包溶劑、鏡像統(tǒng)計，通過日歷展示任務(wù)執(zhí)行情況。

通過用戶自定義展示樣式與顏色，按分析周期、檢測人員、檢測類型、檢測賬號等信息進(jìn)行分析。通過按檢測類型篩選、按檢測分組篩選、按檢測賬號篩選、按風(fēng)險等級篩選、按檢測人員篩選、按時間節(jié)點(diǎn)篩選數(shù)據(jù)，獲取檢測結(jié)果。

其他就是常用的混合云安全、云原生安裝等操作了。比如云賬號設(shè)置，主要用來記錄云賬號認(rèn)證信息，保存檢測參數(shù)，用于按檢測規(guī)則檢測云平臺資源。

如果需要做 K8s 檢測，在使用云原生安全掃描任務(wù)前需在 K8s 集群上安裝 tirvy-operator?？梢灾苯邮褂脤?yīng)的 Helm Chart 進(jìn)行一鍵安裝，如下所示命令：

# 1.添加 chart 倉庫
helm repo add hummer https://registry.hummercloud.com/repository/charts
# 2.更新倉庫源
helm repo update
# 3.開始安裝, 可以自定義應(yīng)用名稱和NameSpace
helm upgrade --install trivy-operator hummer/trivy-operator \
 --namespace trivy-system \
 --set="image.repository=registry.cn-beijing.aliyuncs.com/hummerrisk/trivy-operator" \
 --create-namespace --set="trivy.ignoreUnfixed=true"

# 4.檢測operator是否啟動成功
kubectl get pod -A|grep trivy-operator
trivy-system   trivy-operator-69f99f79c4-lvzvs           1/1     Running            0          118s

安裝完成后要啟用 K8s 環(huán)境安裝檢測功能，需要綁定 K8s APIServer Url 和對應(yīng)的 Token 信息，然后才能生成安全漏洞結(jié)果。

在云原生檢測結(jié)果列表，點(diǎn)擊 統(tǒng)計按鈕? 進(jìn)入詳情列表，點(diǎn)擊 狀態(tài)按鈕 就可以查看日志與報告了。

除此之外還有很多相關(guān)功能，并且我們還可以根據(jù)自身的需求自定義云資源檢測規(guī)則，更多相關(guān)功能可以查看官方文檔 https://docs.hummerrisk.com 了解更多相關(guān)信息。

Git 倉庫：https://github.com/HummerRisk/HummerRisk。