Aller au contenu

Kubernetes Code-To-Cloud Visibility

Ce guide fournit des instructions sur la manière d'obtenir une visibilité sur les résultats du code source associés à l'exécution de services Kubernetes, qui sont potentiellement exposés sur Internet. Cela aide à réduire le bruit en permettant de prioriser uniquement les résultats qui existent dans les logiciels en cours d'exécution.

Prérequis

  • Une intégration ECR active ou la capacité d'ajouter des images par provisionnement manuel (numérisation dans le pipeline CI).
  • La capacité d'ajouter des balises à une image Docker.

Instructions

  1. Identifiez les images Docker associées aux services Kubernetes sur lesquels vous souhaitez obtenir de la visibilité. Cela peut être fait en parcourant la liste des images Docker en cours d'exécution (par ex. : $ docker image ls).

  2. Assurez-vous que les images Docker identifiées ont une étiquette identifiant le dépôt avec lequel l'image doit être associée.

    Exemple (Dockerfile) : 

        LABEL "org.opencontainers.image.source"="https://github.com/votre_org/votre_repo"

    Exemple (CLI) : 

       $ docker build --label "org.opencontainers.image.source=https://github.com/votre_org/votre_repo"

  3. Après avoir ajouté l'étiquette, assurez-vous que l'image a été correctement référencée par Boost en la publiant dans ECR ou en numérisant l'image dans le pipeline avec Trivy Image.

  4. Visitez la page de couverture du scanner et lancez une analyse sur le repository concerné, n'importe quel scanner est acceptable. Cela rafraîchira l'état des actifs que Boost connaît, créant le lien entre les images référencées et les services Kubernetes.

  5. Pour observer les résultats de cette connexion, allez sur la page des résultats et regroupez par K8s Cluster ou K8s Service.

    Kubernetes Findings Group By

    Si des résultats associés au cluster ou au service Kubernetes peuvent être trouvés, alors la connexion a été établie avec succès.

  6. Maintenant que des résultats de code source sont associés aux actifs Kubernetes, il est possible de créer des règles de politique autour de cette information contextuelle clé. Allez sur la page de politique et commencez à ajouter des règles comme Access = External ou Kubernetes Cluster = {votre_cluster_kubernetes} pour tirer parti de la visibilité de bout en bout.

    Kubernetes Policy