檢查項名稱

檢查的內容及安全風險

修復建議

hostNetworkSet

通過檢查Workload的Pod Spec中是否配置了hostNetwork: true，檢查是否配置了共享使用主機的網絡namespace。如果配置了，存在Pod中容器攻擊主機網絡、嗅探主機網絡數據的風險。

修改Pod Spec，刪除hostNetwork字段。

hostIPCSet

通過檢查Workload的Pod Spec中是否配置了hostIPC: true，檢查是否配置了共享使用主機的IPC namespace。如果配置了，存在Pod中容器攻擊主機上進程、嗅探主機上進程數據的風險。

修改Pod Spec，刪除hostIPC字段。

hostPIDSet

通過檢查Workload的Pod Spec中是否配置了hostPID: true，檢查是否配置了共享使用主機的PID namespace。如果配置了，存在Pod中容器攻擊主機上進程、采集主機上進程數據的風險。

修改Pod Spec，刪除hostPID字段。

hostPortSet

通過檢查Workload的Pod Spec中是否配置了hostPort，檢查是否配置了把容器中監聽的端口映射到主機指定端口上。如果配置了，存在擠占主機可用端口以及被非預期的請求方請求容器端口的風險。

修改Pod Spec，刪除hostPort字段。

runAsRootAllowed

通過檢查Workload的Pod Spec中是否未配置runAsNonRoot: true，檢查是否未配置使用非root用戶運行容器。如果未配置，存在被容器中的惡意進程入侵用戶應用、入侵主機甚至入侵整個集群的風險。

修改Pod Spec，增加runAsNonRoot: true。

runAsPrivileged

通過檢查Workload的Pod Spec中是否配置了privileged: true，檢查是否配置了允許以特權模式運行容器。如果配置了，存在被容器中的惡意進程入侵用戶應用、入侵主機甚至入侵集群的風險。

修改Pod Spec，刪除privileged字段。

privilegeEscalationAllowed

通過檢查Workload的Pod Spec中是否未配置allowPrivilegeEscalation: false，檢查是否未配置禁止容器中的子進程擁有比父進程更高的權限。如果未配置，存在被容器中的惡意進程實現越權操作的風險。

修改Pod Spec，增加allowPrivilegeEscalation：false字段。

capabilitiesAdded

通過檢查Workload的Pod Spec中的capabilities字段，檢查是否配置了允許容器中的進程擁有SYS_ADMIN、NET_ADMIN、ALL等特權Linux Capabilities。如果配置了，存在被容器中的惡意進程通過這些特權入侵用戶應用、入侵或破壞組件/集群的風險。

修改Pod Spec，根據實際需求只添加必需的Linux Capabilities，刪除不需要的Linux Capabilities。

不依賴額外Linux Capabilities，刪除所有不需要的Linux Capabilities。示例：

notReadOnlyRootFileSystem

通過檢查Workload的Pod Spec中是否未配置readOnlyRootFilesystem: true，檢查是否未配置容器中的文件系統是不可修改的。如果未配置的話，存在被容器中的惡意進程惡意修改系統文件的風險。

修改Pod Spec，增加readOnlyRootFilesystem: true，如果有需要修改某個目錄下文件的需求，可以通過volumeMounts實現。

示例：

如果需要修改某個目錄下的文件，通過volumeMounts字段實現。

cpuRequestsMissing

通過檢查Workload的Pod Spec中是否未配置resources.requests.cpu字段，可以檢查是否未配置運行容器所需的最少CPU資源。如果未配置的話，Pod有被調度到資源緊張的節點上的風險，可能會出現容器內進程運行緩慢的情況。

修改Pod Spec，增加resources.requests.cpu字段。

示例：

cpuLimitsMissing

通過檢查Workload的Pod Spec中是否未配置resources.limits.cpu字段，檢查是否未配置運行容器所需的最大CPU資源。如果未配置的話，存在被容器內的異常進程消耗大量節點資源，甚至把整個節點或集群的資源銷耗殆盡的風險。

修改Pod Spec，增加resources.limits.cpu字段。

示例：

memoryRequestsMissing

通過檢查Workload的Pod Spec中是否未配置resources.requests.memory字段，檢查是否未配置運行容器所需的最少內存資源。如果未配置，Pod有被調度到資源緊張的節點上的風險，可能會出現容器內進程OOM的風險。

修改Pod Spec，增加resources.requests.memory字段。

示例：

memoryLimitsMissing

通過檢查Workload的Pod Spec中是否未配置resources.limits.memory字段，檢查是否未配置運行容器所需的最大內存資源。如果未配置的話，存在被容器內的異常進程消耗大量節點資源，甚至把整個節點或集群的資源消耗殆盡的風險。

修改Pod Spec，增加resources.limits.memory字段。

示例：

readinessProbeMissing

通過檢查Workload的Pod Spec中是否未配置readinessProbe字段，檢查是否未配置檢測容器內應用能否正常處理請求的探針。如果未配置的話，存在容器內應用異常無法處理請求時仍舊有請求發送，繼而導致業務異常的風險。

修改Pod Spec，增加readinessProbe字段。

示例：

livenessProbeMissing

通過檢查Workload的Pod Spec中是否未配置livenessProbe，檢查是否未配置檢測容器內應用是否出現異常需要重啟容器的探針。如果未配置，存在容器內應用異常需要重啟容器才能恢復時未及時重啟導致業務異常的風險。

修改Pod Spec，增加livenessProbe字段。

示例：

tagNotSpecified

通過檢查Workload的Pod Spec中的image字段的值是否未包含鏡像Tag或者使用了latest作為鏡像Tag，檢查是否未配置運行容器時使用指定Tag的容器鏡像。如果未配置，存在運行容器時運行了非預期的容器鏡像版本導致業務異常的風險。

修改Pod Spec，修改image字段，使用指定的鏡像Tag，并且不要使用latest作為鏡像Tag。

示例：

anonymousUserRBACBinding

通過檢查集群內的RBAC（Role-based access control）綁定找出配置了匿名用戶訪問權限的配置項。如果配置了允許匿名用戶訪問集群資源的配置項，則存在被惡意匿名用戶竊取集群敏感信息、攻擊和入侵集群的風險。

修改掃描出來的RBAC綁定，根據實際情況刪除允許匿名用戶訪問集群資源的權限配置項。

示例：

事件類型

事件名稱

事件內容示例

事件說明

處理措施

Normal

SecurityInspectorConfigAuditStart

Start to running config audit

開始執行巡檢任務。

無需處理。

Normal

SecurityInspectorConfigAuditFinished

Finished running once config audit

巡檢任務執行完成。

無需處理。

Warning

SecurityInspectorConfigAuditHighRiskFound

2 high risks have been found after running config audit

巡檢執行完之后，發現部分工作負載存在未修復的高風險檢查項。

1. 在集群的配置巡檢頁面，查看詳細的巡檢結果。

2. 通過過濾選項中的有風險、所有命名空間以及顯示所有工作負載，過濾查看有風險的工作負載。然后，單擊詳情，查看該工作負載中每個檢查項的檢查結果和修復建議。

   • 對于確認無需修復的檢查項，單擊加白名單，將該檢查項加入白名單。

   • 對于確認需要修復的檢查項，請參考修復建議進行修復。