Trivy Operator #
Deployment #
Quelle #
Die Anwendung wird als Helm-Chart von Aqua Security bezogen.
Dokumentation #
Die Dokumentation für den Trivy Operator ist auf der Aqua Security Webseite zu finden.
Funktion #
Der Trivy Operator automatisiert die Sicherheitsüberprüfung des Kubernetes-Clusters. Er läuft als Controller und führt folgende Aufgaben aus:
- Schwachstellenscans: Er scannt die Images aller laufenden Pods auf bekannte CVEs (Common Vulnerabilities and Exposures).
- Konfigurations-Audits: Er prüft die Konfiguration von Kubernetes-Ressourcen (wie Deployments, Pods, etc.) auf unsichere Einstellungen und Best-Practice-Verstöße.
Die Ergebnisse dieser Scans werden als VulnerabilityReport- und ConfigAuditReport-Custom-Ressourcen im jeweiligen Namespace der gescannten Ressource gespeichert. Diese Berichte können dann von anderen Tools (z.B. Prometheus, Lens) ausgelesen und zur Überwachung der Cluster-Sicherheit verwendet werden.
Lokale Anpassungen #
Die Konfiguration erfolgt über die values.yaml-Datei.
Wichtige Einstellungen #
- Schweregrad: Es werden nur Schwachstellen mit dem Schweregrad
HIGHoderCRITICALgemeldet. ignoreUnfixed: Ist auftruegesetzt, was bedeutet, dass nur Schwachstellen gemeldet werden, für die bereits ein Patch oder eine neue Image-Version verfügbar ist.- Scanner: Sowohl der Schwachstellen-Scanner als auch der Konfigurations-Audit-Scanner sind aktiviert.
- Monitoring: Ein
ServiceMonitorwird erstellt, um Metriken über die Scan-Ergebnisse für Prometheus bereitzustellen.
Installation #
Die Anwendung wird mittels Kustomize und Helm durch ArgoCD im Kubernetes-Cluster bereitgestellt. Die Konfiguration befindet sich im apps/trivy-Verzeichnis. Eine manuelle Installation kann mit folgendem Befehl durchgeführt werden:
1kubectl kustomize --enable-helm apps/trivy | kubectl apply -n trivy-system -f -
Abhängigkeiten #
- Prometheus: Optional, zur Erfassung und Visualisierung der Scan-Metriken.
