官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

工具

HummerRisk 使用教程：资源态势

HummerCloud 2023-03-22 10:53:58 168143

所属地北京

1. 概览

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生环境的安全和治理问题。核心能力包括混合云的安全治理和容器云安全检测。

本文将介绍如何使用HummerRisk 中的资源态势相关功能，HummerRisk 中的资源态势在两个核心部分都有，所以我们也会分两部分来介绍相关的使用。

2. 混合云资源态势

使用资源态势相关功能的前提是要完成绑定云账号，相关绑定云账号的内容，请查看多云检测相关的使用说明，这里我们假定您已经在系统中绑定好了云账号。在完成云账号绑定后，系统会自动执行一次资源同步，同步完成后即可在资源态势中查看相关云账号的资源情况。

资源清单

在资源态势页面，可以通过统一的界面查看多云账号中的资源情况。

fab9b12fe04e472e9225bef8a50b726e~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=DtjlCWUoGAbDnT%2Fj9VUi2rTJMNw%3D

左侧的「全部云账号」会列出目前绑定账号中支持资源态势的账号，点击某一账号，即可查看对应账号的云资源。
「资源汇总」部分会将云资源按类别汇总数量，比如huawei.iam等。汇总打分时候会夸账号统计。
「资源清单」会列出详细的资源信息，每条记录就是云上的一个相关资源。点击左侧的箭头，可以展开资源的详细信息。

c1b246f5e55d4a629a42980c1d32c71c~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=zipT2%2FdVRuX7umRa5QJNws6HRKI%3D

风险情况

每条记录都会显示风险情况，这里的风险依赖于「多云检测」的结果。如果在多云检测的过程中，发现对应的云资源存在风险，那么这里就会显示「有风险」，而如果没有风险，则对应显示「无风险」。风险状态分为「有风险」，「无风险」，「未检测」。

点击「有风险」的状态按钮，可以查看检测出本资源存在风险的检测规则，再根据相关检测历史，方便修复对应风险。

07d438a93c404d6a85561917c976ac2b~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=Us7lNMY%2FP8%2F82RvLALO0KlA9IhI%3D

云资源拓扑图

云资源拓扑图中会将所有云账号中的资源以拓扑图的形式呈现。

每一个大圈代表一个云账号，其下还会有3层，分别代表区域 -> 资源类型 -> 具体资源。同时上层的圈中会汇总下层资源的数量，便于看到统计信息。

另一个需要注意的事颜色，白色的资源代表该资源没有风险，而橘色的资源代表有风险，和前面介绍「资源清单」中的风险情况一致。

dd547f6736a243d899501572bf1247e6~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=PxyB%2FRfrzxfZGKXPMpTXKRa1FZ8%3D

云资源同步任务

除了首次绑定云账号后的自动同步任务外，还可以在系统中手动进行资源同步，在云资源同步日志列表中可以查看到全部的同步任务。

f40dfc4f24cc4ec8a93169c48a2a9fb4~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=LHqZcZ7%2BDwUI%2FeIiO4GR%2B76u310%3D

点击「创建资源同步任务」，选择希望手动同步的云账号，即可创建同步任务。

daad149b18a5452aad59af6ff45864ff~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=kQTMHMn95Umc8Fuue8ZAKig%2B0gA%3D

创建完任务后，可以在列表中查看到任务执行情况。列表中的状态包括「正在处理」，「已完成」，「异常」，「告警」，点击状态中的按钮，可以查看同步任务的详细日志信息。

0a69f2fad74b4df78c7f7bfffda25ea1~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=mw623924aF9qLB6Kd7KntogdgBg%3D

任务列表中还提供了「资源类型」的显示，因为各个公有云资源类型繁多，我们会逐步扩充和支持，所以通过资源类型，可以更加方便用户了解目前支持的资源。

点击云账号中的对应按钮，可以查看到该云账号支持同步的云资源类型。

ecbc6794358348ddbec1f86658490b43~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=7gvc7rAc%2FfQnJwBV8gxdWStP%2Fp4%3D

3. 容器云资源态势

系统中另一个资源态势，是针对 K8s 容器云的部分。这里我们会将系统中绑定的多个容器云环境进行汇总，统一将资源信息进行展示和拓扑呈现。和混合云部分相同，想要使用资源态势也需要先绑定 K8s 环境的账号。

资源清单

点击「云原生安全」->「资源态势」进入页面，在这里可以统一查看系统中绑定的多个K8s账号的资源情况。如下图：

c14f177572b449c6a745377d80377148~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=wtuiiB9mZSan2Lu%2BBPbk%2FxHud7c%3D

左侧的「全部K8s账号」会列出目全部K8s账号，点击某一账号，即可查看对应账号的资源。
「资源汇总」部分会将云资源按类别汇总数量，同时下方我们突出显示了5中常用资源，namespace，pod，node，deployment，service。
「资源清单」会列出详细的资源信息，点击资源名称会看到详细资源描述文件内容

K8s资源拓扑图

在资源拓扑图中，我们通过4个视角来图形化展示K8s集群的资源情况，分别是：「K8s 风险视角」，「节点视角」，「命名空间视角」，「资源视角」。

K8s风险视角

本视角的资源拓扑核心目标是展示集群的风险情况，如下图：

13f8572be35941bd82dc85a84fc9a79b~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=KDwS0ojCANlnPXaISA8EdRSskaI%3D

在本视角中，一次只显示一个K8s账号的资源风险，可以通过顶部下拉菜单切换到不同的K8s账号。

图形中部的圈代表不同的资源，资源会以namespace分类，每一个外层的圆圈代表一个namespace。内层的圆圈代表处于namespace中的具体资源。圆圈会被显示为不同的颜色，这些颜色代表风险等级，目前分为5类风险等级，具体如下：

等级

b5505be8caed4066aacf9c7d442b63e4~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=Aj4kUcVO950%2FLDCew8yuryxjsqg%3D

可以通过右上角的选项，可以通过风险等级对资源进行过滤，还可以点击「导出PDF」将拓扑图下载下来。如图：

左侧的images列出K8s中使用的全部镜像，并且基于「K8s 检测」和「镜像检测」的结果，其中存在风险的镜像会显示为红色，展开镜像信息，可以看到具体的漏洞情况。

dbf13293874d4dfb842b6d8dd63bca2c~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=sPOaY0cqFny%2F2YoztZ3%2B23%2B0kQg%3D

节点视角

本视角是以K8s中的node作为分类进行聚合，然后将node中资源展现出来，在本视角中会同时显示全部K8s账号的资源。

如下图：

c2c8749982af4fb48e9860752f58762b~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=2ozjrK5%2FShinzRMCevt5njcTAMU%3D

命名空间视角

本视角是以K8s中的namespace作为分类进行聚合，然后将全部K8s账号中namespace的资源展现出来。如下图：

8b52fd8028f8440eac0fa7a69b7ba221~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=Nfbo40XLXO8oSa46aZHQ2Nz0L68%3D

资源视角

本视角会按K8s账号进行分类，将一个K8s账号中的全部资源都显示到一起。如下图：

08fac395acc84835a64c6ace7f6ea977~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=JKQk4B0o5HYEEfcY9YaETTYJZsE%3D

K8s RBAC拓扑图

K8s中的权限依托RBAC进行实现和管理，但其复杂性一直困扰安全管理，本拓扑图的核心目标是展示K8s集群中的RBAC情况，包括SA，Role，resource直接的关联关系。如下图：

9c3f78e5d5cc4c1f94aa7a54c2fad3a8~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=yw%2FTNtY%2B6%2BdCFmPZWSfqpEZ4bgk%3D

每次只能显示一个K8s账号的情况，点击左上角的下拉菜单，可以切换显示不同K8s账号。

点击顶部的图例，可以将部分资源内容显示或隐藏。

4a7b3947a0624ba6848ca429e5406e16~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=F86%2BGTAjxFBdL2%2B6mrIRHyje05s%3D

K8s资源同步任务

除了首次绑定K8s账号后会自动同步资源外，还可以在系统中手动进行资源同步，在K8s资源同步日志列表中可以查看到全部的同步任务。

点击「创建资源同步任务」，选择希望手动同步的云账号，即可创建同步任务。

11c4837f62ca47bda888d43c8ee90b83~tplv-obj.image?traceid=20230322104409C663AF62FD3A9A044CA2&x-expires=2147483647&x-signature=kmpN%2Baasd72ZP5Hiz84oeTSGgx0%3D