CN117034295A - 基于Kubernetes Operator的漏洞扫描方法及系统 - Google Patents

基于Kubernetes Operator的漏洞扫描方法及系统 Download PDF

Info

Publication number
CN117034295A
CN117034295A CN202311063127.3A CN202311063127A CN117034295A CN 117034295 A CN117034295 A CN 117034295A CN 202311063127 A CN202311063127 A CN 202311063127A CN 117034295 A CN117034295 A CN 117034295A
Authority
CN
China
Prior art keywords
vulnerability
vulnerability scanning
cloud
operator
scanning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311063127.3A
Other languages
English (en)
Inventor
刘顺
李伏琼
李冬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongdian Cloud Computing Technology Co ltd
Original Assignee
Zhongdian Cloud Computing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongdian Cloud Computing Technology Co ltd filed Critical Zhongdian Cloud Computing Technology Co ltd
Priority to CN202311063127.3A priority Critical patent/CN117034295A/zh
Publication of CN117034295A publication Critical patent/CN117034295A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于Kubernetes Operator的漏洞扫描方法及系统,涉及云安全领域。该方法的步骤包括:云平台收到用户的云资产申请请求后,使用Operator在Kubernetes集群上创建云资产;云平台为云资产关联与Operator集成的漏洞扫描设备;云平台收到漏洞扫描请求后,调用对应的漏洞扫描设备对关联的云资产进行漏洞扫描后,生成漏洞报告。本发明的漏洞扫描设备与Operator集成、且由云平台调用,如此使得漏洞扫描设备工作时,能够获取由云平台根据漏洞扫描请求给与的对应权限,即漏洞扫描设备能够对漏洞扫描请求所需的所有漏洞进行扫描,不会出现现有技术中扫描范围受限的情况。

Description

基于Kubernetes Operator的漏洞扫描方法及系统
技术领域
本发明涉及云安全领域,具体涉及一种基于Kubernetes(容器编排引擎)Operator(调谐控制器)的漏洞扫描方法及系统。
背景技术
用户在申请云资产(例如云服务器、虚拟机等)后,会对云资产进行漏洞扫描,以保证云资产的使用安全。现有的漏洞扫描方法一般为:需要进行漏洞扫描时,用户在云资产上导入或下载已有的漏洞扫描器进行漏洞扫描。上述漏洞扫描方法存在以下缺陷:
(1)扫描范围受限:漏洞扫描器只能扫描具备权限的常规漏洞,对于不具备权限的漏洞无法扫描,例如,某些容器(即云资产,本领域通俗叫法称之为容器)可能没有公开的网络接口,那么漏洞扫描器则无法访问和扫描这些容器。
(2)扫描效率较低:当云资产较多时,例如多台虚拟机,则需要对每台虚拟机安装漏洞扫描器,此外对扫描结果还需要进行手动分析和修复。
发明内容
针对现有技术中存在的缺陷,本发明解决的技术问题为:在对云资产进行漏洞扫描时,如何扩大扫描范围,提高扫描效率。
为达到以上目的,本发明提供的基于Kubernetes Operator的漏洞扫描方法,包括以下步骤:云平台收到云资产申请请求后,使用Operator在Kubernetes集群上创建云资产;云平台为云资产关联与Operator集成的漏洞扫描设备;云平台收到漏洞扫描请求后,调用对应的漏洞扫描设备对关联的云资产进行漏洞扫描后,生成漏洞报告。
在上述技术方案的基础上,云平台调用对应的漏洞扫描设备对关联的云资产进行漏洞扫描的流程包括:云平台根据云资产申请请求的带宽负载信息,确定对应的消息带宽参数,漏洞扫描设备发送符合消息带宽参数的漏洞扫描报文至云资产。
在上述技术方案的基础上,该方法在对云资产进行漏洞扫描之前,还包括以下步骤:获取所有已知的漏洞信息、并按照危险程度对所有漏洞进行分级后,按照级别存储入漏洞数据库;所述漏洞扫描请求包括请求漏洞级别,漏洞级别包括初级、中级、高级、危险;所述云平台收到漏洞扫描请求后,调用对应的漏洞扫描设备对关联的云资产进行漏洞扫描的流程包括:调用对应的漏洞扫描设备,扫描云资产中与漏洞扫描请求中漏洞级别对应的漏洞。
在上述技术方案的基础上,所述云平台为云资产关联与Operator集成的漏洞扫描设备的流程包括:存储漏洞扫描设备与当前云资产的关联信息;与所述漏洞扫描请求对应的漏洞扫描设备的确定流程包括:云平台根据需要扫描的云资产信息,确定关联有该云资产的漏洞扫描设备、并将其确定为对应的漏洞扫描设备。
在上述技术方案的基础上,所述漏洞报告包括:漏洞信息、漏洞等级和修复措施。
本发明提供的基于Kubernetes Operator的漏洞扫描系统,包括设置于云平台上的云资产创建模块、漏洞扫描设备、漏洞扫描关联模块和漏洞报告生成模块;
云资产创建模块用于:收到云资产申请请求后,使用Operator在Kubernetes集群上创建云资产;
漏洞扫描关联模块用于:为云资产关联与Operator集成的漏洞扫描设备;收到漏洞扫描请求后,向对应的漏洞扫描设备发送漏洞扫描信号;
漏洞扫描设备用于:收到漏洞扫描信号后,对云资产进行漏洞扫描;
漏洞报告生成模块用于:根据漏洞扫描设备的扫描结果生成漏洞报告。
在上述技术方案的基础上,所述漏洞扫描关联模块还用于:根据云资产申请请求的带宽负载信息,确定对应的消息带宽参数;所述漏洞扫描设备对云资产进行漏洞扫描的流程包括:向云资产发送符合消息带宽参数的漏洞扫描报文。
在上述技术方案的基础上,该系统还包括漏洞信息学习模块,其用于:获取所有已知的漏洞信息、并按照危险程度对所有漏洞进行分级后,按照级别存储入漏洞数据库;所述漏洞扫描请求包括请求漏洞级别,漏洞级别包括初级、中级、高级、危险;所述漏洞扫描设备的工作流程包括:扫描云资产中与漏洞扫描请求中漏洞级别对应的漏洞。
在上述技术方案的基础上,所述漏洞扫描关联模块为云资产关联与Operator集成的漏洞扫描设备的工作流程包括:存储漏洞扫描设备与当前云资产的关联信息;所述漏洞扫描关联模块确定与漏洞扫描请求对应的漏洞扫描设备的流程包括:根据需要扫描的云资产信息,确定关联有该云资产的漏洞扫描设备、并将其确定为对应的漏洞扫描设备。
在上述技术方案的基础上,所述漏洞报告包括漏洞信息、漏洞等级和修复措施。
与现有技术相比,本发明的优点在于:
本发明的漏洞扫描设备与Operator集成、且由云平台调用,如此使得漏洞扫描设备工作时,能够获取由云平台根据漏洞扫描请求给与的对应权限,即漏洞扫描设备能够对漏洞扫描请求所需的所有漏洞进行扫描,不会出现现有技术中扫描范围受限的情况。
与此同时,当云资产较多时,本发明的漏洞扫描设备由云平台根据漏洞扫描请求调用,例如当漏洞扫描请求中包括多台虚拟机时,云平台可批量调用对应的漏洞扫描设备进行扫描;因此与现有技术中对每台虚拟机安装漏洞扫描器相比,本发明的扫描效率较高;而且扫描完成后会生成漏洞报告供用户查看,用户体验较好。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中的基于Kubernetes Operator的漏洞扫描方法的流程图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
首先简述使用Kubernetes Operator的益处:
(1)自动化:使用Operator自动创建、配置、维护Kubernetes资源对象,大大减少了手动操作的数量,并且能够快速地识别容器中可能存在的漏洞。
(2)高效性:漏洞扫描器组件可以直接与Operator集成,能够快速检测到容器中的漏洞并生成报告,管理员能够迅速采取措施来保障系统安全。
(3)安全性:通过对容器环境进行持续和自动化的漏洞扫描,能够及时发现和修复容器中可能存在的漏洞,提高容器环境安全性。
(4)可扩展性:基于Operator的系统可以很容易地进行扩展,以添加新的功能和组件,从而满足不同企业的需求。
(5)管理员友好:管理员不必关心底层细节,因为Operator会自动处理所有资源对象,可大大降低管理员工作量。
(6)成本效益:相比传统的漏洞扫描方法,具有更高的效率和更低的成本,因为它能够自动化执行漏洞扫描,并且不需要额外的硬件或软件成本。
进一步,本发明实施例中的基于Kubernetes Operator的漏洞扫描方法,包括以下步骤:
云平台收到用户的云资产申请请求后,使用Operator在Kubernetes集群上创建云资产(即CRD,自定义资源对象,例如VPC虚拟机)、并指定如何处理CRD中包含的规范、以及如何生成对应的Kubernetes资源对象。云平台为云资产关联与Operator集成的漏洞扫描设备;云平台收到漏洞扫描请求后,调用对应的漏洞扫描设备对关联的云资产进行漏洞扫描后,生成漏洞报告。
漏洞扫描请求可以主动触发,也可以被动触发;主动触发包括:创建云资产、或者用户在云资产上进行软件下载后云资产自动向云平台发起;被动触发为用户主动在云平台上申请(例如用户下载软件之后想主动对该软件进行扫描等)。
由此可知,本发明的漏洞扫描设备与Operator集成、且由云平台调用,如此使得漏洞扫描设备工作时,能够获取由云平台根据漏洞扫描请求给与的对应权限,即漏洞扫描设备能够对漏洞扫描请求所需的所有漏洞进行扫描,不会出现现有技术中扫描范围受限的情况。
与此同时,当云资产较多时,本发明的漏洞扫描设备由云平台根据漏洞扫描请求调用,例如当漏洞扫描请求中包括多台虚拟机时,云平台可批量调用对应的漏洞扫描设备进行扫描;因此与现有技术中对每台虚拟机安装漏洞扫描器相比,本发明的扫描效率较高;而且扫描完成后会生成漏洞报告供用户查看,用户体验较好。
优选的,上述方法中云平台调用对应的漏洞扫描设备对关联的云资产进行漏洞扫描的流程包括:云平台根据云资产申请请求的带宽负载信息(例如网络带宽等),确定对应的消息带宽参数,漏洞扫描设备发送符合消息带宽参数的漏洞扫描报文至云资产。
上述过程的研发原理为:发明人在研发过程中发现,现有的漏洞扫描方法在进行漏洞扫描时,扫描器可能会发送大量的网络流量或者CPU负载给容器,从而影响云资产的正常工作;为此,发明人通过在云资产申请时就已经知晓的带宽负载信息,来限制漏洞扫描设备在工作时发送的报文负载,进而降低对云资产的影响。
优选的,该方法在对云资产进行漏洞扫描之前,还包括以下步骤(本实施例中为初始步骤),获取所有已知的漏洞信息、并按照危险程度对所有漏洞进行分级后,按照级别存储入漏洞数据库;在此基础上,该方法中的漏洞扫描请求包括请求漏洞级别,漏洞级别至少包括初级、中级、高级、危险,其中高级以上代表会影响系统正常运行的漏洞;该方法中云平台收到漏洞扫描请求后,调用对应的漏洞扫描设备对关联的云资产进行漏洞扫描的流程还包括:调用对应的漏洞扫描设备,扫描云资产中与漏洞扫描请求中漏洞级别对应的漏洞。
上述过程的研发原理为:发明人在研发过程中发现,现有的漏洞扫描方法在进行漏洞扫描时,没有对漏洞进行分析和分级,进而导致扫描结果中存在大量被标记为“高危”的漏洞,其中很多可能是一些“无关紧要”的漏洞,又或者不会检测到一些真正存在的漏洞。为此,发明人在漏洞扫描之前,就对漏洞进行了统计、分析和分级,这使得后续能够根据级别扫描对应的漏洞,进而提高了工作效率和扫描精准度。
优选的,上述方法中云平台为云资产关联与Operator集成的漏洞扫描设备的流程包括:存储漏洞扫描设备与当前云资产的关联信息(具体方式可以为绑定漏洞扫描设备与云资产的固定IP和端口等);在此基础上,上述方法中与漏洞扫描请求对应的漏洞扫描设备的确定流程包括:云平台根据需要扫描的云资产信息,确定关联有该云资产的漏洞扫描设备、并将其确定为对应的漏洞扫描设备。
漏洞扫描方式为自动检测和自动修复:
自动检测:漏洞扫描设备会自动检测云资产中已安装软件的版本,并与已知漏洞库比较,从而为管理员发现潜在的安全问题提供警报。
自动修复:使用Operator控制器,可以根据漏洞扫描器组件生成的漏洞报告来自动修复漏洞,以提高容器环境的安全性。
上述过程的研发原理为:发明人在研发过程中发现,现有的漏洞扫描方法在漏洞扫描器“下线又上线”之后(例如用户因不想续费等原因一段时间未使用漏洞扫描器,之后又想继续使用),会因云资产的IP地址和/或端口发生改变,而导致之前的扫描信息已经丢失,为此需要重写配置扫描方式、并且重写对云资产进行全部扫描。即不适应动态环境。为此,本发明通过存储漏洞扫描设备与当前云资产的关联信息,与根据具有云资产信息的漏洞扫描请求来扫描云资产结合的方式,实现了即使云资产的IP和/或端口发生变化,也能调用之前为云资产服务过的漏洞扫描设备来为该云资产进行工作的效果。因此,本发明的漏洞扫描方法能够适应和匹配动态环境,进一步提高了工作效率和扫描精度。
优选的,上述方法中的漏洞报告包括:详细的漏洞信息、漏洞等级和建议的修复措施,以便管理员采取适当的措施来修复漏洞。
在实际使用时,本发明能够实现以下效果:
(1)修复应用程序漏洞:应用程序漏洞是在容器化应用程序中最常见的漏洞类型;为了保护应用程序不受攻击,本发明使用漏洞扫描设备来识别容器中可能存在的漏洞,并采取适当的措施来修复这些漏洞。
(2)避免服务器配置错误:Kubernetes中的所有操作都是通过API服务器进行的,因此如果API服务器存在配置错误,则可能会导致安全问题。管理员可以使用Operator来监视和管理API服务器的配置,并确保其符合最佳实践。
(3)保证容器镜像的安全:容器映像可能包含潜在的安全漏洞。为了保护容器不受攻击,可以使用Operator来检查容器中的所有映像,并确保它们是经过验证且安全的。
(4)访问控制:访问控制是保护容器环境安全的重要方面。使用Operator,管理员可以定义和管理Kubernetes资源对象的权限,并限制哪些用户可以访问这些对象。这可以避免未经授权的人员对容器环境进行攻击或者篡改。
下面通过一个实施例具体说明基于Kubernetes Operator的漏洞扫描方法的流程:
S1:获取所有已知的漏洞信息、并按照危险程度对所有漏洞进行分级后,按照级别存储入漏洞数据库。
S2:云平台收到用户的云资产申请请求后,使用Operator在Kubernetes集群上创建云资产(VPC虚拟机)、并为云资产关联与Operator集成的漏洞扫描设备,关联方式为:存储漏洞扫描设备与当前云资产的关联信息(绑定漏洞扫描设备与云资产的固定IP和端口等)。
S3:云平台收到漏洞扫描请求(漏洞扫描请求包括请求漏洞级别,漏洞级别至少包括初级、中级、高级、危险,其中高级以上代表会影响系统正常运行的漏洞)后,根据云资产申请请求的带宽负载信息,确定对应的消息带宽参数;根据需要扫描的云资产信息,确定关联有该云资产的漏洞扫描设备、并将其确定为对应的漏洞扫描设备。
S4:云平台调用确定的漏洞扫描设备扫描云资产中与漏洞扫描请求中漏洞级别对应的漏洞;漏洞扫描设备发送漏洞扫描报文时符合消息带宽参数的要求。
S5:漏洞扫描设备扫描完成后,生成漏洞报告,漏洞报告包括详细的漏洞信息、漏洞等级和建议的修复措施,以便管理员采取适当的措施来修复漏洞。
本发明实施例中的种基于Kubernetes Operator的漏洞扫描系统,包括设置于云平台上的云资产创建模块、漏洞扫描设备、漏洞扫描关联模块、漏洞报告生成模块和漏洞信息学习模块。
云资产创建模块用于:收到云资产申请请求后,使用Operator在Kubernetes集群上创建云资产;
漏洞扫描关联模块用于:为云资产关联与Operator集成的漏洞扫描设备(存储漏洞扫描设备与当前云资产的关联信息);收到漏洞扫描请求后,向对应的漏洞扫描设备发送漏洞扫描信号;漏洞扫描设备的确定流程包括:根据需要扫描的云资产信息,确定关联有该云资产的漏洞扫描设备、并将其确定为对应的漏洞扫描设备。根据云资产申请请求的带宽负载信息,确定对应的消息带宽参数;所述漏洞扫描设备对云资产进行漏洞扫描的流程包括:向云资产发送符合消息带宽参数的漏洞扫描报文。
漏洞扫描设备用于:收到漏洞扫描信号后,对云资产进行漏洞扫描;工作流程包括:扫描云资产中与漏洞扫描请求中漏洞级别对应的漏洞。
漏洞报告生成模块用于:根据漏洞扫描设备的扫描结果生成漏洞报告,漏洞报告包括漏洞信息、漏洞等级和修复措施。
漏洞信息学习模块用于:获取所有已知的漏洞信息、并按照危险程度对所有漏洞进行分级后,按照级别存储入漏洞数据库;所述漏洞扫描请求包括请求漏洞级别,漏洞级别包括初级、中级、高级、危险;
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读存储介质上,计算机可读存储介质可以包括计算机可读存储介质(或非暂时性介质)和通信介质(或暂时性介质)。
如本领域普通技术人员公知的,术语计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机可读存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
示例性的,计算机可读存储介质可以是前述实施例的电子设备的内部存储单元,例如电子设备的硬盘或内存。计算机可读存储介质也可以是电子设备的外部存储设备,例如电子设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。
以上仅为本发明实施例的具体实施方式,但本发明实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明实施例的保护范围之内。因此,本发明实施例的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于Kubernetes Operator的漏洞扫描方法,其特征在于,该方法包括以下步骤:云平台收到云资产申请请求后,使用Operator在Kubernetes集群上创建云资产;云平台为云资产关联与Operator集成的漏洞扫描设备;云平台收到漏洞扫描请求后,调用对应的漏洞扫描设备对关联的云资产进行漏洞扫描后,生成漏洞报告。
2.如权利要求1所述的基于Kubernetes Operator的漏洞扫描方法,其特征在于,云平台调用对应的漏洞扫描设备对关联的云资产进行漏洞扫描的流程包括:云平台根据云资产申请请求的带宽负载信息,确定对应的消息带宽参数,漏洞扫描设备发送符合消息带宽参数的漏洞扫描报文至云资产。
3.如权利要求1所述的基于Kubernetes Operator的漏洞扫描方法,其特征在于,该方法在对云资产进行漏洞扫描之前,还包括以下步骤:获取所有已知的漏洞信息、并按照危险程度对所有漏洞进行分级后,按照级别存储入漏洞数据库;所述漏洞扫描请求包括请求漏洞级别,漏洞级别包括初级、中级、高级、危险;所述云平台收到漏洞扫描请求后,调用对应的漏洞扫描设备对关联的云资产进行漏洞扫描的流程包括:调用对应的漏洞扫描设备,扫描云资产中与漏洞扫描请求中漏洞级别对应的漏洞。
4.如权利要求1所述的基于Kubernetes Operator的漏洞扫描方法,其特征在于,所述云平台为云资产关联与Operator集成的漏洞扫描设备的流程包括:存储漏洞扫描设备与当前云资产的关联信息;与所述漏洞扫描请求对应的漏洞扫描设备的确定流程包括:云平台根据需要扫描的云资产信息,确定关联有该云资产的漏洞扫描设备、并将其确定为对应的漏洞扫描设备。
5.如权利要求1至4任一项所述的基于Kubernetes Operator的漏洞扫描方法,其特征在于,所述漏洞报告包括:漏洞信息、漏洞等级和修复措施。
6.一种基于Kubernetes Operator的漏洞扫描系统,其特征在于:该系统包括设置于云平台上的云资产创建模块、漏洞扫描设备、漏洞扫描关联模块和漏洞报告生成模块;
云资产创建模块用于:收到云资产申请请求后,使用Operator在Kubernetes集群上创建云资产;
漏洞扫描关联模块用于:为云资产关联与Operator集成的漏洞扫描设备;收到漏洞扫描请求后,向对应的漏洞扫描设备发送漏洞扫描信号;
漏洞扫描设备用于:收到漏洞扫描信号后,对云资产进行漏洞扫描;
漏洞报告生成模块用于:根据漏洞扫描设备的扫描结果生成漏洞报告。
7.如权利要求6所述的基于Kubernetes Operator的漏洞扫描系统,其特征在于:所述漏洞扫描关联模块还用于:根据云资产申请请求的带宽负载信息,确定对应的消息带宽参数;所述漏洞扫描设备对云资产进行漏洞扫描的流程包括:向云资产发送符合消息带宽参数的漏洞扫描报文。
8.如权利要求6所述的基于Kubernetes Operator的漏洞扫描系统,其特征在于:该系统还包括漏洞信息学习模块,其用于:获取所有已知的漏洞信息、并按照危险程度对所有漏洞进行分级后,按照级别存储入漏洞数据库;所述漏洞扫描请求包括请求漏洞级别,漏洞级别包括初级、中级、高级、危险;所述漏洞扫描设备的工作流程包括:扫描云资产中与漏洞扫描请求中漏洞级别对应的漏洞。
9.如权利要求6所述的基于Kubernetes Operator的漏洞扫描系统,其特征在于,所述漏洞扫描关联模块为云资产关联与Operator集成的漏洞扫描设备的工作流程包括:存储漏洞扫描设备与当前云资产的关联信息;所述漏洞扫描关联模块确定与漏洞扫描请求对应的漏洞扫描设备的流程包括:根据需要扫描的云资产信息,确定关联有该云资产的漏洞扫描设备、并将其确定为对应的漏洞扫描设备。
10.如权利要求6至9任一项所述的基于Kubernetes Operator的漏洞扫描系统,其特征在于:所述漏洞报告包括漏洞信息、漏洞等级和修复措施。
CN202311063127.3A 2023-08-21 2023-08-21 基于Kubernetes Operator的漏洞扫描方法及系统 Pending CN117034295A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311063127.3A CN117034295A (zh) 2023-08-21 2023-08-21 基于Kubernetes Operator的漏洞扫描方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311063127.3A CN117034295A (zh) 2023-08-21 2023-08-21 基于Kubernetes Operator的漏洞扫描方法及系统

Publications (1)

Publication Number Publication Date
CN117034295A true CN117034295A (zh) 2023-11-10

Family

ID=88624369

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311063127.3A Pending CN117034295A (zh) 2023-08-21 2023-08-21 基于Kubernetes Operator的漏洞扫描方法及系统

Country Status (1)

Country Link
CN (1) CN117034295A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110069930A (zh) * 2019-04-29 2019-07-30 广东电网有限责任公司 一种漏洞修复方法、装置和计算机可读存储介质
CN110321708A (zh) * 2019-03-21 2019-10-11 北京天防安全科技有限公司 一种基于资产类别的快速漏洞扫描方法及系统
CN112291232A (zh) * 2020-10-27 2021-01-29 中国联合网络通信有限公司深圳市分公司 一种基于租户的安全能力和安全服务链管理平台
CN116226855A (zh) * 2022-12-07 2023-06-06 航天科工网络信息发展有限公司 一种集群漏洞扫描、配置审计和监控告警的方法及装置
CN116595542A (zh) * 2023-07-12 2023-08-15 北京安数云信息技术有限公司 一种漏洞扫描方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110321708A (zh) * 2019-03-21 2019-10-11 北京天防安全科技有限公司 一种基于资产类别的快速漏洞扫描方法及系统
CN110069930A (zh) * 2019-04-29 2019-07-30 广东电网有限责任公司 一种漏洞修复方法、装置和计算机可读存储介质
CN112291232A (zh) * 2020-10-27 2021-01-29 中国联合网络通信有限公司深圳市分公司 一种基于租户的安全能力和安全服务链管理平台
CN116226855A (zh) * 2022-12-07 2023-06-06 航天科工网络信息发展有限公司 一种集群漏洞扫描、配置审计和监控告警的方法及装置
CN116595542A (zh) * 2023-07-12 2023-08-15 北京安数云信息技术有限公司 一种漏洞扫描方法和系统

Similar Documents

Publication Publication Date Title
CN109076063B (zh) 在云环境中保护动态和短期虚拟机实例
CN109716343B (zh) 威胁检测的企业图形方法
CN111416811B (zh) 越权漏洞检测方法、系统、设备及存储介质
US20080183603A1 (en) Policy enforcement over heterogeneous assets
CN110225031B (zh) 动态权限漏洞检测方法、系统、装置及可读存储介质
CN110839014B (zh) 一种认证方法、装置、计算机设备及可读存储介质
CN109495467B (zh) 拦截规则的更新方法、设备及计算机可读存储介质
CN111431753A (zh) 一种资产信息更新方法、装置、设备及存储介质
CN112711770A (zh) 敏感行为阻断方法、装置、终端及存储介质
CN111083093A (zh) 调用端能力的方法和装置
CN111737232A (zh) 数据库管理方法、系统、装置、设备及计算机存储介质
US20230319112A1 (en) Admission control in a containerized computing environment
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
CN114386047A (zh) 应用漏洞检测方法、装置、电子设备及存储介质
CN117034295A (zh) 基于Kubernetes Operator的漏洞扫描方法及系统
CN113645060B (zh) 一种网卡配置方法、数据处理方法及装置
CN112464176B (zh) 一种权限管理方法、装置、电子设备及存储介质
CN111241547A (zh) 一种越权漏洞的检测方法、装置及系统
CN112346888B (zh) 一种基于软件应用的数据通讯方法、装置以及服务端设备
KR20220073657A (ko) 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템
CN116628696A (zh) 一种基于代理客户端的漏洞检测方法及相关设备
CN112217770B (zh) 一种安全检测方法、装置、计算机设备及存储介质
CN112995143A (zh) 一种基于邮件系统的安全通报方法、装置、设备及介质
CN112800463B (zh) 信息处理方法、装置及系统
CN114006758B (zh) 一种设备标识的管理方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination