技术摘要：
本发明公开了一种基于CIS基准的Kubernetes安全加固系统及方法，所述系统包括：输入命令解析模块，用于解析输入的命令参数，确定加载对应的配置文件；配置文件解析模块，用于解析CIS安全基准的配置文件；自动安全扫描模块，用于根据解析的配置文件，执行扫描命令；分片  全部
背景技术：
随着容器云平台应用规模越来越大，领域越来越广，做为其基础的Kubernetes集 群的安全性越来越受重视，强化Kubernetes集群的安全合规成为了一种必然趋势。 目前，业界主要是按照CIS(Center  for  Internet  Security，互联网安全中心)安 全基线对Kubernetes集群进行安全扫描，主要的工具有Kube-bench和Kubernetes-cis- benchmark，其中Kube-bench大约能扫描出Kubernetes集群中95％的配置缺陷。但这些工具 都只提供了扫描功能，对于告警项只能手动加固，若手动加固后存在问题则必须逐个手动 回退，维护工作量大，效率极低。
技术实现要素：
为了解决上述技术问题，本发明提出了一种基于CIS基准的Kubernetes安全加固 系统及方法，解决现有工具缺乏自动加固及回退功能的问题，保证Kubernetes集群的安全 部署和运行。 为实现上述目的，本发明采用以下技术方案： 一种基于CIS基准的Kubernetes安全加固系统，包括： 输入命令解析模块，用于解析输入的命令参数，确定加载对应的配置文件； 配置文件解析模块，用于解析CIS安全基准的配置文件； 自动安全扫描模块，用于根据解析的配置文件，执行扫描命令； 分片集中备份模块，用于将待加固的分片内容加密存储； 自动安全加固模块，用于根据分片集中备份模块的输出，执行加固命令； 分片集中校验模块，用于校验及解密待回退的分片内容； 自动安全回退模块，用于根据分片集中校验模块的输出，执行回退命令； 输出模块，用于集成输出运行结果。 进一步地，所述输入的命令参数包括：主节点、工作节点、扫描、加固、回退、密码口 令参数和指定配置项。 进一步地，所述配置文件采用YAML格式按照CIS基准组织内容，包括配置项ID、扫 描、加固需要的命令及基本描述。 进一步地，所述扫描命令、加固命令、回退命令均并行执行。 进一步地，所述输出模块输出的运行结果以YAML格式输出。 进一步地，输出的扫描命令运行结果和加固命令运行结果作为系统加载和解析的 配置文件。 本发明还提出了一种基于CIS基准的Kubernetes安全加固方法，包括： 4 CN 111737699 A 说　明　书 2/4 页 输入命令参数，确定加载对应的配置文件； 解析配置文件； 执行自动安全扫描，输出扫描报告； 执行自动安全加固，输出自动加固报告； 执行自动安全回退，输出自动回退报告。 进一步地，所述执行自动安全扫描具体为： 根据解析的配置文件，执行扫描命令； 提取扫描结果中FAIL项ID及建议。 进一步地，所述执行自动安全加固具体为： 输入节点类型、用户口令及待加固项； 加载对应节点类型的配置文件，提取待加固项信息； 利用输入的用户口令和PBKDF2算法产生mac密钥和AES密钥； 利用产生的AES密钥分别对每个待加固项加固前后的分片信息加密，利用产生的 mac密钥计算mac值； 查找存储在宿主机的加固记录文件中是否存在相同的加固项，若存在，更新加固 项；若不存在，新增加固记录； 对待加固项执行加固命令，提取关键信息。 进一步地，所述执行自动安全回退具体为： 输入节点类型、加固时的用户口令，指定回退参数； 加载对应节点类型的配置文件，提取待回退项的信息； 利用输入的用户口令和PBKDF2算法产生自动加固时相同的mac密钥和AES密钥； 读取宿主机的加固记录文件，获取待回退项的加固记录； 利用产生的mac密钥逐个校验mac； 对校验mac通过的待回退项执行回退命令，提取关键信息。 本发明的有益效果是： 本发明提出了一种基于CIS基准的Kubernetes安全加固系统及方法，包括自动扫 描、自动加固和自动回退功能，可以极大地减少关于安全配置的维护量，增强Kubernetes集 群的安全性。对于待加固项与待回退项支持自定义，并且对加固前的分片内容做AES加密存 储，保证回退时能恢复到加固前的状态。本发明采用容器化部署，易于使用，便于扩展，需要 增加新的安全扫描加固项时只需要在配置文件中增加相应指令及描述。 附图说明 图1是本发明基于CIS基准的Kubernetes安全加固系统结构示意图； 图2是本发明基于CIS基准的Kubernetes安全加固方法流程示意图。