mhawarey/k8s-nuclear-security-scanner

# 核设施 Kubernetes 安全扫描器 **IAEA 核安全系列 (NSS-17) 容器编排环境合规扫描器** 一款高级安全扫描与合规评估工具， implements IAEA 核安全系列 (NSS-17) 指南，适用于核设施的 Kubernetes 环境。该扫描器实施纵深防御安全原则，执行带有核设施特定威胁建模的自动化风险评估，并针对多个国际框架生成合规报告。 ## 合规框架 | 框架 | 覆盖范围 | |------|----------| | IAEA 核安全系列 (NSS-17) | 核设施计算机安全 | | ISO/IEC 27001:2022 | 信息安全管理体系 | | CIS Kubernetes 基准 | 容器编排安全 | | NIST 网络安全框架 | 关键基础设施保护 | ## 安全级别分类 扫描器根据 IAEA 核设施安全级别对发现项进行分类： - **Level 1** — 保护系统（最高安全）：反应堆保护、安全停机系统 - **Level 2** — 与安全相关系统：监控、应急响应 - **Level 3** — 过程控制系统：运行技术 - **Level 4** — 管理系统：业务运营 - **Level 5** — 办公自动化（最低安全） ## 架构 ``` k8s_nuclear_security_scanner.py # Core scanner: security policies, finding engine, compliance checks setup_nuclear_scanner.py # Setup and orchestration script demo_script.py # Demonstration with simulated nuclear facility K8s manifests generate_desktop_reports.py # Multi-format report generator (JSON, YAML, CSV, TXT) nuclear_facility_manifests.yaml # Sample K8s manifests simulating nuclear facility workloads ``` ## 输出格式 - `nuclear_security_report.json` — 机器可读的发现结果，包含严重性等级与合规映射 - `nuclear_security_report.yaml` — YAML 格式的发现结果，用于与 CI/CD 管道集成 - `nuclear_security_report.text` — 人类可读的管理层摘要 - `security_findings.csv` — 表格形式的发现结果，便于电子表格分析 ## 关键特性 - **关键命名空间中的特权容器检测** - **针对空气隔离核设施段的网络策略强制** - **跨所有 IAEA 安全级别的安全上下文分析** - **带优先级排序的自动修复建议** - **每个发现项的多框架合规映射** ## 依赖项 ``` pyyaml ``` ## 用法 ``` pip install pyyaml python setup_nuclear_scanner.py ``` 或直接运行扫描器： ``` python k8s_nuclear_security_scanner.py python generate_desktop_reports.py ``` ## 示例输出 ``` NUCLEAR FACILITY SECURITY ASSESSMENT ===================================== Total Security Issues Identified: 5 CRITICAL: 2 findings HIGH: 1 finding MEDIUM: 2 findings Nuclear Security Level Impact: Level 1 - Protection Systems: 1 finding Level 2 - Safety Related: 1 finding Level 3 - Process Control: 2 findings Level 4 - Administrative: 1 finding ``` ## 方法论 1. **清单解析**：加载 Kubernetes Pod 规范、服务定义、网络策略和 RBAC 配置 2. **策略引擎**：根据映射到 Kubernetes 原语的 IAEA NSS-17 安全控制评估每个资源 3. **风险评分**：分配严重性（CRITICAL/HIGH/MEDIUM/LOW），并根据核安全级别加权 4. **合规映射**：将发现项与 ISO 27001、CIS 基准和 NIST CSF 控制项进行交叉引用 5. **报告生成**：生成多格式报告，包含管理层摘要、详细发现项和修复步骤 ## 免责声明 本工具仅用于安全评估演示目的，模拟核设施的 Kubernetes 环境。它未获认证用于实际的核设施环境。真实的核设施部署需要额外的监管批准和验证。 ## 作者 **Dr. Mosab Hawarey** 博士（大地测量与摄影测量工程，ITU）| 硕士（地理空间，Purdue）| 硕士（工商管理，Wales）| 学士、硕士（METU） - GitHub: https://github.com/mhawarey - 个人主页: https://hawarey.org/mosab - ORCID: https://orcid.org/0000-0001-7846-951X ## 许可证 MIT License

标签：Chrome Headless, CIS Kubernetes基准, IAEA NSS-17, ISO/IEC 27001, Kubernetes安全, Kubernetes安全扫描, meg, NIST网络安全框架, Python安全工具, Web截图, 信息安全, 合规扫描, 图探索, 多格式报告, 威胁建模, 安全合规, 安全态势评估, 安全级别分类, 容器安全, 恶意代码分类, 核安全框架, 核设施安全, 核设施工作负载模拟, 网络代理, 运营技术, 逆向工具, 防御纵深