一鍵部署

1. 部署服務(wù)器要求

• 操作系統(tǒng)要求：任何支持 Docker 的 Linux x64
• CPU內(nèi)存要求：最低要求 4C8G，推薦 8C16G
• 部署目錄空間（默認(rèn)/opt目錄）要求： 50G
• 網(wǎng)絡(luò)要求：可訪問互聯(lián)網(wǎng)（如遇內(nèi)網(wǎng)環(huán)境，理論上除公有云安全檢測(cè)、Github源碼檢測(cè)外，其他功能可照常使用）

2. 執(zhí)行以下腳本進(jìn)行一鍵安裝：curl -sSL https://github.com/HummerRisk/HummerRisk/releases/latest/download/quick_start.sh -o quick_start.sh

3. HummerRisk 是一款 B/S 架構(gòu)的產(chǎn)品，即瀏覽器/服務(wù)器結(jié)構(gòu)，在服務(wù)器安裝完成后，客戶端通過瀏覽器訪問以下地址，即可開始使用。

• http://目標(biāo)服務(wù)器 IP 地址：服務(wù)運(yùn)行端口，例如：http: 82.157.130.20:80（默認(rèn)端口為80，用戶可在安裝時(shí)自定義）
• 使用默認(rèn)用戶名 admin 密碼 hummer 進(jìn)行登錄。

模塊介紹

HummerRisk 主界面后可以看到界面左側(cè)導(dǎo)航欄，有【首頁】【混合云安全】【云原生安全】【任務(wù)編排】【檢測(cè)管理】【系統(tǒng)設(shè)置】六大模塊

快速上手

3.1 場(chǎng)景一：混合云安全

3.1.1 綁定賬號(hào)

添加/編輯云賬號(hào)

• 進(jìn)入云賬號(hào)設(shè)置頁面，首先需要綁定多云的賬號(hào)信息（Access Key ID / Access Key Secret）。
• 點(diǎn)擊左上角「創(chuàng)建云賬號(hào)」按鈕，可以添加云賬號(hào)。
• 通過對(duì)應(yīng)的云平臺(tái)，獲取賬號(hào)信息（一般為AK/SK），填寫信息并綁定，自動(dòng)獲取區(qū)域和認(rèn)證等信息。
• 更詳細(xì)的賬號(hào)配置操作請(qǐng)參考 多云檢測(cè)

• 綁定完成后系統(tǒng)會(huì)自動(dòng)校驗(yàn)賬號(hào)的狀態(tài)，狀態(tài)顯示為『有效』時(shí)即為綁定成功。
• 點(diǎn)擊賬號(hào)列表中操作按鈕的第三個(gè)「編輯」，對(duì)已綁定的賬號(hào)進(jìn)行編輯。

云賬號(hào)調(diào)參 因?yàn)闄z測(cè)規(guī)則的參數(shù)可以靈活配置，不同的云賬號(hào)可以有不同的安全合規(guī)標(biāo)準(zhǔn)，所以在此頁面用戶可以根據(jù)自身需求自定義規(guī)則的參數(shù)與任意區(qū)域。

• 通過賬號(hào)列表第二個(gè)調(diào)參按鈕，打開云賬號(hào)調(diào)參頁面。
• 保存參數(shù)后，執(zhí)行檢測(cè)將優(yōu)先執(zhí)行當(dāng)前調(diào)參內(nèi)容，而且在調(diào)參頁面可以快速執(zhí)行某一規(guī)則的某些區(qū)域快速檢測(cè)。（注：不設(shè)置調(diào)參內(nèi)容不影響檢測(cè)，檢測(cè)內(nèi)容為內(nèi)置默認(rèn)參數(shù)和所有待檢測(cè)區(qū)域）

3.1.2 執(zhí)行檢測(cè)

基于規(guī)則組進(jìn)行檢測(cè)

• 多云檢測(cè)基于規(guī)則組進(jìn)行場(chǎng)景檢測(cè)的，例如檢測(cè) Aliyun ECS 最佳安全實(shí)踐，將檢測(cè)此規(guī)則組下一系列規(guī)則，達(dá)到覆蓋場(chǎng)景的目的。 有兩種方式可以快速開始檢測(cè)：
• 通過云賬號(hào)列表第一個(gè)「一鍵檢測(cè)」按鈕選取多個(gè)規(guī)則組執(zhí)行一鍵檢測(cè)。
• 在規(guī)則組頁面，選擇希望執(zhí)行的規(guī)則，選取某個(gè)云賬號(hào)執(zhí)行快速檢測(cè)。

云資源檢測(cè)結(jié)果

• 在點(diǎn)擊上述一鍵檢測(cè)后，將自動(dòng)跳轉(zhuǎn)云資源檢測(cè)結(jié)果頁面，檢測(cè)結(jié)果將會(huì)顯示正在執(zhí)行。
• 等待檢測(cè)執(zhí)行完畢后獲得檢測(cè)結(jié)果的安全合規(guī)信息與優(yōu)化建議。

• 漏洞檢測(cè)主要用于掃描網(wǎng)絡(luò)信息安全，通過設(shè)置目標(biāo)地址信息即可。
• 綁定的目標(biāo)地址可以是域名，也可以是 IP + 端口。

• 完成上述漏洞設(shè)置后，點(diǎn)擊一鍵檢測(cè)，將自動(dòng)跳轉(zhuǎn)漏洞檢測(cè)結(jié)果頁面，檢測(cè)結(jié)果將會(huì)顯示正在執(zhí)行。
• 等待檢測(cè)執(zhí)行完畢后，獲得檢測(cè)結(jié)果的漏洞信息與優(yōu)化建議。

3.1.3 查看報(bào)告

云資源合規(guī)報(bào)告

• 待云資源檢測(cè)完畢后，根據(jù)檢測(cè)結(jié)果生成合規(guī)報(bào)告，用戶可查看和下載合規(guī)報(bào)告。 詳細(xì)的合規(guī)報(bào)告相關(guān)操作，請(qǐng)參考文檔的 多云檢測(cè)

3.1.4 分析和審計(jì)

操作審計(jì)

• 云操作審計(jì)，幫助您監(jiān)控并記錄多云賬號(hào)的活動(dòng)，包括通過云控制臺(tái)、OpenAPI、開發(fā)者工具對(duì)云上產(chǎn)品和服務(wù)的訪問和使用行為。
• 用戶可以查看這些行為事件，然后進(jìn)行行為分析、安全分析、資源變更行為追蹤和行為合規(guī)性審計(jì)等操作。

資源態(tài)勢(shì)

• 根據(jù)綁定混合云賬號(hào)信息，即可同步獲取云資源匯總信息。
• 執(zhí)行檢測(cè)后，可以自動(dòng)關(guān)聯(lián)云資源態(tài)勢(shì)信息，可以查看到具體哪些資源具有安全合規(guī)風(fēng)險(xiǎn)。

3.2 場(chǎng)景二：云原生安全

3.2.1 前置 K8s 配置

K8s 檢測(cè)前置條件使用云原生 K8s 安全檢測(cè)任務(wù)前需在 k8s 集群上安裝 tirvy-operator

使用云原生 K8s 安全檢測(cè)任務(wù)前需在 k8s 集群上安裝 tirvy-operator# 1.添加 chart 倉庫helm repo add hummer https://registry.hummercloud.com/repository/charts# 2.更新倉庫源helm repo update# 3.開始安裝, 可以自定義應(yīng)用名稱和NameSpacehelm install trivy-operator hummer/trivy-operator–namespace trivy-system–set=”image.repository=registry.cn-beijing.aliyuncs.com/hummerrisk/trivy-operator”–create-namespace –set=”trivy.ignoreUnfixed=true”# 4.檢測(cè)operator是否啟動(dòng)成功kubectl get pod -A|grep trivy-operatortrivy-system trivy-operator-69f99f79c4-lvzvs 1/1 Running0118s

K8s 賬號(hào)添加校驗(yàn)

創(chuàng)建 ServiceAccountcat

cat < hummer-sa.yamlapiVersion: v1kind: ServiceAccountmetadata:name: hummernamespace: kube-systemEOF

創(chuàng)建 clusterrolebinding

cat < hummer-clusterrolebinding.yamlapiVersion: rbac.authorization.k8s.io/v1kind: ClusterRoleBindingmetadata:name: hummer-userroleRef:apiGroup: rbac.authorization.k8s.iokind: ClusterRolename: cluster-adminsubjects:- kind: ServiceAccountname: hummernamespace: kube-systemEOF

創(chuàng)建資源

kubectl create -f ./hummer-sa.yamlkubectl create -f ./hummer-clusterrolebinding.yaml

獲取 token

# 獲取 token kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep hummer | awk ‘{print $1}’) | grep token: | awk ‘{print $2}’

3.2.2 檢測(cè) K8s 風(fēng)險(xiǎn)

Kuberbetes 配置

• K8s 配置與云原生 K8s 環(huán)境安全檢測(cè)功能，綁定 K8s Url 與 Token 信息即可進(jìn)行安全檢測(cè)，并生成安全漏洞結(jié)果。
• K8s 平臺(tái)環(huán)境有四種：分別是 Kubernetes、Rancher、OpenShift、KubeSphere。

K8s 檢測(cè)結(jié)果

• K8s 檢測(cè)結(jié)果，主要展示 K8s 環(huán)境的漏洞安全信息和配置審計(jì)風(fēng)險(xiǎn)信息。

K8s 資源態(tài)勢(shì)

• 資源態(tài)勢(shì)功能，綁定 K8s 環(huán)境信息，即可獲取 K8s 的 Namespace、Pod、Node、Deployment、Service 等20余種資源信息。
• 綁定完 K8s 賬號(hào)是可以自動(dòng)獲取資源態(tài)勢(shì)信息的。
• 同時(shí)，也可以在同步日志頁面手動(dòng)獲取資源態(tài)勢(shì)信息。
• 手動(dòng)創(chuàng)建同步任務(wù)，即可查看同步資源數(shù)與同步狀態(tài)。

3.2.3 檢測(cè)部署文件

K8s 部署配置

• K8s 部署檢測(cè)功能，輸入 K8s 部署配置 YAML 文件，即可進(jìn)行部署檢測(cè)，輸出部署配置檢測(cè)結(jié)果。

部署檢測(cè)結(jié)果

• 針對(duì)部署文件（YAML），一鍵執(zhí)行檢測(cè)后展示結(jié)果。
• 用戶可以根據(jù)檢測(cè)結(jié)果的提示，修改對(duì)應(yīng)的 YAML 文件內(nèi)容，達(dá)到最佳要求。

3.2.4 檢測(cè)鏡像風(fēng)險(xiǎn)

鏡像倉庫

• 用戶可以綁定鏡像倉庫，之后檢測(cè)的鏡像可以從綁定的鏡像倉庫中查找和獲取。
• 鏡像倉庫類型：目前支持四種類型 harbor、dockerhub、nexus 和 other。如果選擇 other 不會(huì)同步鏡像，只做登錄驗(yàn)證。
• 鏡像倉庫中同步的鏡像列表，可以直接執(zhí)行檢測(cè)，直接跳轉(zhuǎn)到檢測(cè)結(jié)果頁面。（這個(gè)過程也會(huì)默認(rèn)在鏡像管理中新建一條數(shù)據(jù)）

鏡像管理

• 在鏡像管理頁面，我們可以對(duì)具體需要檢測(cè)的鏡像進(jìn)行管理。
• 鏡像列表中會(huì)顯示出已經(jīng)創(chuàng)建成功的待檢測(cè)鏡像，列表會(huì)顯示出鏡像的名稱、狀態(tài)、地址等信息。
• 通過校驗(yàn)的鏡像，鏡像狀態(tài)會(huì)顯示為 [有效]，可以對(duì)其執(zhí)行檢測(cè)。
• 鏡像可以是公有鏡像，也可以是私有鏡像?？梢允謩?dòng)填寫鏡像地址，上傳鏡像tar包，也可以從鏡像倉庫中選擇同步的鏡像。
• 在鏡像列表中，選擇希望執(zhí)行檢測(cè)的鏡像，點(diǎn)擊列表后的[檢測(cè)]按鈕，確認(rèn)后系統(tǒng)就會(huì)對(duì)該鏡像進(jìn)行檢測(cè)。

鏡像檢測(cè)結(jié)果

• 鏡像檢測(cè)結(jié)果列表，展示鏡像的漏洞信息。

3.2.5 檢測(cè)主機(jī)風(fēng)險(xiǎn)

添加 統(tǒng)一憑據(jù)

• 用戶可以在統(tǒng)一憑據(jù)頁面將常用的或重復(fù)的主機(jī)認(rèn)證進(jìn)行保存，這樣在創(chuàng)建主機(jī)的過程中可以直接綁定，方便操作防止重復(fù)拷貝。
• 新建、修改主機(jī)信息時(shí)，可靈活綁定憑據(jù)，統(tǒng)一憑據(jù)有三種類型，密碼、密鑰字符串、密鑰文件。

添加主機(jī) & 執(zhí)行檢測(cè)

• 主機(jī)管理列表頁面提供了對(duì)主機(jī)分組、主機(jī)的創(chuàng)建、刪除、編輯、查找、校驗(yàn)、檢測(cè)等操作。
• 創(chuàng)建主機(jī)時(shí)，可以為多個(gè)主機(jī)批量添加統(tǒng)一憑據(jù)，也可以分別為主機(jī)添加憑據(jù)。
• 目前只針對(duì) Linux 操作系統(tǒng)類型的主機(jī)。

主機(jī)檢測(cè)結(jié)果

• 在主機(jī)管理界面，選中待檢測(cè)主機(jī)，一鍵執(zhí)行后將自動(dòng)跳轉(zhuǎn)到主機(jī)檢測(cè)結(jié)果頁面。
• 主檢測(cè)結(jié)果頁面將只會(huì)保留最新的一次檢測(cè)結(jié)果，歷史檢測(cè)結(jié)果請(qǐng)到主機(jī)檢測(cè)歷史記錄中查看。
• 點(diǎn)擊檢測(cè)狀態(tài)按鈕，可以查看檢測(cè)結(jié)果日志詳情。

3.2.6 檢測(cè)項(xiàng)目風(fēng)險(xiǎn)

項(xiàng)目源碼配置

• 在源碼檢測(cè)部分，通過對(duì)源碼依賴的掃描，發(fā)現(xiàn)項(xiàng)目中存在的漏洞。
• 目前綁定倉庫支持兩種類型：GitHub 和 GitLab 。
• Token 的獲取：首先私有倉庫需要填入Token，公有倉庫無需填寫Token。

源碼檢測(cè)結(jié)果

• 源碼檢測(cè)，可以針對(duì) branch 分支、可以針對(duì) tag 標(biāo)簽、可以針對(duì) commit 某次提交。
• 源碼檢測(cè)結(jié)果列表，展示源碼項(xiàng)目依賴的漏洞信息。

依賴文件管理

• 對(duì)于源碼檢測(cè)的補(bǔ)充，如果只想檢測(cè)源碼項(xiàng)目的依賴文件檢測(cè)，可以上傳對(duì)應(yīng)的文件進(jìn)行檢測(cè)。
• 依賴文件可以是單個(gè)文件，也可以是文件夾的壓縮文件。
• 依賴文件的格式，例如 java 的 pom.xml，vue 的 package.json 或 yarn.lock 等。

依賴文件檢測(cè)結(jié)果

• 依賴文件檢測(cè)結(jié)果列表，展示項(xiàng)目依賴的漏洞信息。

4 、參考信息

https://docs.hummerrisk.com/