HummerRiskは、クラウドネイティブ環境において、非侵入的な方法で包括的なセキュリティテストを実行するオープンソースのクラウドセキュリティガバナンスプラットフォームです。基盤となるハイブリッドクラウドのセキュリティコンプライアンス、中間層のKubernetesコンテナクラウドセキュリティ、上位層のソフトウェアセキュリティという3つの主要な課題に対処します。

特性

ハイブリッドクラウドのセキュリティガバナンス

• ハイブリッド クラウド セキュリティ コンプライアンス テスト: 情報セキュリティ保護標準 2.0 事前テスト、CIS コンプライアンス チェック、さまざまなベースライン テストなど、主流のパブリック (プライベート) クラウド リソースでセキュリティ コンプライアンス テストを実行し、カスタム テスト ルールも使用できます。
• 脆弱性検出: 脆弱性ルール ベースに基づいて、スキャンなどの手段を通じて、指定されたネットワーク デバイスおよびアプリケーション サービスのセキュリティ上の脆弱性を検出します。
• コンプライアンス レポート: ワンクリックでコンプライアンス レポートを取得し、セキュリティ体制を完全に制御できます。

利点は何ですか?

• 包括的なサポート：Alibaba Cloud、Tencent Cloud、Huawei Cloud、Volcano Engine、Baidu Cloud、QingCloud、UCloud、Amazon Web Services、Microsoft Azure、Google Cloudなど、ほぼすべてのパブリッククラウドをサポートしています。また、OpenStackやVMware vSphereなどを含むプライベートクラウドもサポートしており、サポート範囲は継続的に拡大しています。
• 使い方は簡単: クラウド アカウントをバインドするだけで、ワンクリックでテストを実行できます。
• すぐに使用可能: 多数の組み込みルールが含まれており、必要に応じてカスタム ルールをカスタマイズできます。

Kubernetesコンテナクラウドセキュリティ

• K8s リソース ステータス: 複数の K8s クラスターを関連付け、関連付けられている各環境のリソース ステータスを統一された方法で表示できます。
• 環境検出: K8s セキュリティ ベースラインに基づいて、構成エラー、セキュリティの脆弱性、危険なアクションなどの問題を特定するための検出が実行されました。
• イメージ検査: オペレーティング システム、ソフトウェア パッケージ、アプリケーションの依存関係に関連するものを含む、イメージ関連の脆弱性を包括的に検出します。
• コンテナの検出: 実行中のコンテナをスキャンして検出し、セキュリティの問題とリスクを特定します。
• デプロイメント検出: Kubernetes デプロイメント オーケストレーション ファイルを検出し、デプロイメント前に構成の問題を特定します。
• ホスト検出: 検出内容をカスタマイズして、基盤となるホスト/仮想マシンの問題を見つけることができます。
• ソースコード検査: 開発者のソースコードを検査して、オープンソースライセンス、依存関係、脆弱性、コードの問題などの問題を事前に発見します。
• SBOM 管理: SBOM の視覚的な管理と分析、SBOM の変更の検出、ソフトウェア サプライ チェーンのリスクと脆弱性の迅速な識別と位置特定、および合理的な処理提案の提供。

利点は何ですか?

• 互換性: 複数の Kubernetes ディストリビューションをサポートします。
• 独立性: 中立的な製品、客観的なテスト。
• 非侵襲的：非侵襲的な検出。

ソフトウェアサプライチェーンのセキュリティ

• ソースコード検査: 開発者のソースコードを検査して、オープンソースライセンス、依存関係、脆弱性、コードの問題などの問題を事前に発見します。
• ソフトウェア依存関係の検出: ソフトウェア コンポーネントを分析することで依存関係の脆弱性が検出され、SBOM が構築されます。
• イメージ依存関係検出: イメージ内のさまざまな依存関係情報を検出し、セキュリティ上の脆弱性を発見します。
• SBOM 管理: SBOM の視覚的な管理と分析、SBOM の変更の監視、ソフトウェア サプライ チェーンのリスクと脆弱性の特定と検出。

インストール

HummerRiskを素早くインストールする最も簡単な方法は、たった2つのステップです。4コア以上、8GB以上のRAMを搭載した64ビットLinuxホスト（CentOS 7以降を推奨）を用意します。rootユーザーとして以下のコマンドを実行すると、ワンクリックでHummerRiskをインストールできます。

 # インストールスクリプトの最新バージョンをダウンロードする
curl -sSL https://github.com/HummerRisk/HummerRisk/releases/latest/download/quick_start.sh -o quick_start.sh
 # インストールコマンドを実行する
bash クイックスタート.sh
 # インストール後、 設定ファイルは/opt/hummerrisk/config/install.conf にあります。

もちろん、必要に応じて関連パラメータを設定して手動でデプロイすることも可能です。外部のMySQLデータベースを使用することをお勧めします。

まず、インストールする必要があるバージョンを指定します。

 エクスポートhummerrisk_version = v0.2.0 ​ ​

次に、対応するインストール パッケージをダウンロードします。

 wget https://github.com/HummerRisk/HummerRisk/releases/download/ {{ hummerrisk_version }}/hummerrisk-installer-{{ hummerrisk.version }}.tar.gz

インストール パッケージを解凍します。

 tar - xf hummerrisk - インストーラー- {{ hummerrisk_version }}. tar . gz
 cd hummerrisk - インストーラー- {{ hummerrisk_version }}

install.conf 構成ファイルを開き、必要に応じてデフォルトの構成ファイルを変更します。

 $ vim インストール.conf
 # 以下の設定が空の場合、システムが自動的にランダムな文字列を生成して入力します。
 #インストールと設定
#ミラーリポジトリアドレス
HR_DOCKER_IMAGE_PREFIX = registry.cn - beijing.aliyuncs.com ​ ​ ​
 #データ永続ディレクトリ
HR_BASE = / opt / ハマーリスク
HR_DOCKER_DIR =/ var / lib / docker
 # # サービスWebポート
HR_HTTP_PORT = $ { HR_HTTP_PORT }
 #現在のバージョン
HR_CURRENT_VERSION = v1.0
 # MySQL データベース構成、 USE_EXTERNAL_MYSQL = 1 は外部データベースを使用することを示します。 正しいMySQL 情報を入力してください。
 HR_USE_EXTERNAL_MYSQL = $ { HR_USE_EXTERNAL_MYSQL }
 HR_DB_HOST = $ { HR_DB_HOST }
 HR_DB_PORT = $ { HR_DB_PORT }
 HR_DB_USER = $ { HR_DB_USER }
 HR_DB_パスワード= $ { HR_DB_パスワード}
 HR_DB_NAME = $ { HR_DB_NAME }
 # Docker の設定
# Docker ネットワークセグメント設定
HR_DOCKER_SUBNET = 172.19 .0 .0 / 16
 # Docker ゲートウェイIP
 HR_DOCKER_GATEWAY = 172.19 .0 .1
 # プロジェクト設定の作成
#プロジェクト名
COMPOSE_PROJECT_NAME = hr
 #タイムアウト
COMPOSE_HTTP_TIMEOUT = 3600
 # Docker クライアントのタイムアウト
DOCKER_CLIENT_TIMEOUT = 3600

設定後、次のコマンドを実行してインストールを開始します。

 bash インストール.sh

インストール後、コマンド `hrctl start` を使用してアプリケーションを起動できます。

使用

起動すると、ブラウザで Web サービスにアクセスできるようになります。

デフォルトのログイン アカウントは admin、パスワードは hummer です。

ログイン後、ホームページが表示されます。ホームページでは、テスト結果の主要情報の概要が表示され、「概要」、「分析」、「アクティビティ記録」の3つのページに分かれています。デフォルトでは「概要」ページが表示されます。

概要ページには、ユーザー数、アカウント数、ルール、結果、タスク、セキュリティスコアなどの情報に加え、クラウドアカウント、脆弱性、仮想マシン、ソフトウェアパッケージ、イメージに関する統計情報が表示されます。タスクの実行ステータスはカレンダーに表示されます。

ユーザーは表示スタイルと色をカスタマイズし、分析サイクル、テスト担当者、テストの種類、テストアカウントなどの情報に基づいてデータを分析できます。テストの種類、テストグループ、テストアカウント、リスクレベル、テスト担当者、および時点ごとにデータをフィルタリングして、テスト結果を取得できます。

その他のタスクには、ハイブリッドクラウドセキュリティやクラウドネイティブインストールといった一般的な操作が含まれます。例えば、クラウドアカウント設定は主に、クラウドアカウントの認証情報を記録し、検出ルールに従ってクラウドプラットフォームリソースを検出するための検出パラメータを保存するために使用されます。

Kubernetes (K8s) テストを実行する必要がある場合は、クラウドネイティブのセキュリティスキャンタスクを使用する前に、K8s クラスターに tirvy-operator をインストールする必要があります。次のコマンドに示すように、対応する Helm Chart を直接使用してワンクリックでインストールできます。

 # 1. チャートリポジトリを追加する
helm リポジトリにhummer を追加しますhttps://registry.hummercloud.com/repository/charts
 # 2. リポジトリソースを更新する
helm リポジトリの更新
# 3. インストールを開始します。 アプリケーション名と名前空間をカスタマイズできます。
 helm アップグレード-- trivy - operator をインストールhummer / trivy - operator \
 -- 名前空間トリビー- システム\
 -- set = "image.repository=registry.cn-beijing.aliyuncs.com/hummerrisk/trivy-operator" \
 -- 名前空間を作成-- "trivy.ignoreUnfixed=true" を設定

# 4. オペレーターが正常に起動したか確認する
kubectl get pod - A | grep trivy - 演算子
trivy - システムtrivy - 演算子- 69f 99f 79 c4 - lvzvs 1 / 1 実行中0 118 秒

インストール後に K8s 環境のインストール検出機能を有効にするには、セキュリティ脆弱性の結果を生成する前に、K8s APIServer URL と対応するトークン情報をバインドする必要があります。

クラウドネイティブ検出結果リストで、[統計] ボタンをクリックして詳細リストに入り、[ステータス] ボタンをクリックしてログとレポートを表示します。

これらの機能に加え、関連機能も多数用意されており、クラウドリソース検出ルールをニーズに合わせてカスタマイズすることも可能です。関連機能の詳細については、公式ドキュメント（https://docs.hummerrisk.com）をご覧ください。

Git リポジトリ: https://github.com/HummerRisk/HummerRisk。