14.2. 一般的な脆弱性管理タスク

一般的な脆弱性管理タスクには、脆弱性の特定と優先順位付け、脆弱性の修復、および新しい脅威の監視が含まれます。以下は、Vulnerability Management Dashboard ビューから実行できるいくつかの一般的なタスクです。

14.2.1. インフラストラクチャーに影響する重大な CVE の検索

Vulnerability Management ビューを使用して、プラットフォームに最適な CVE を特定します。

手順

RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
Vulnerability Management ビューヘッダーで CVE を選択します。
CVE ビューで、Env Impact 列ヘッダーを選択し、環境の影響に基づいて CVE を降順 (最も高いもの) に配置します。

14.2.2. 最も脆弱なイメージコンポーネントの検索

Vulnerability Management ビューを使用して、脆弱なイメージコンポーネントを特定します。

手順

RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
Vulnerability Management ビューヘッダーから、Application & Infrastructure Components の順に選択します。
Components ビューで CVEs 列ヘッダーを選択し、CVE 数に基づいてコンポーネントを降順 (一番大きいもの) に配置します。

14.2.3. 脆弱性のあるコンテナーイメージ層の特定

Vulnerability Management ビューを使用して、脆弱なコンポーネントと、そのコンポーネントが表示されるイメージ層を特定します。

手順

RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
最もリスクの Top Riskiest Images ウィジェットからイメージを選択するか、ダッシュボードの上部にある Images ボタンをクリックしてイメージを選択します。
Image の詳細ビューで、Dockerfile の横にある展開アイコンを選択して、イメージコンポーネントの概要を表示します。
特定のコンポーネントのデプロイメントアイコンを選択して、選択したコンポーネントに影響する CVE の詳細を取得します。

この情報は Vulnerability Management (2.0) Workload CVEs に移動して表示することもできます。詳細は、関連情報セクションの「Vulnerability Management (2.0) でのワークロード CVE の表示」を参照してください。

14.2.4. 修正可能な CVE のみの詳細表示

Vulnerability Management ビューを使用して、修正可能な CVE をフィルタリングして表示します。

手順

RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
Vulnerability Management ビューヘッダーから、Filter CVEs Fixable の順に選択します。

14.2.5. ベースイメージのオペレーティングシステムの特定

Vulnerability Management ビューを使用して、ベースイメージのオペレーティングシステムを特定します。

手順

RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
Vulnerability Management ビューヘッダーから Images を選択します。
Image OS 列の下に、すべてのイメージのベースオペレーティングシステム (OS) および OS バージョンを表示します。
イメージを選択して、その詳細を表示します。ベースオペレーティングシステムは、Image Summary Details and Metadata セクションでも利用できます。

注記

Red Hat Advanced Cluster Security for Kubernetes は、以下のいずれかの場合に、Image OS を unknown としてリスト表示します。

オペレーティングシステム情報が利用できない場合、または
使用中のイメージスキャナーでこの情報が提供されない場合。

Docker Trusted Registry、Google Container Registry、および Anchore では、この情報を提供されません。

14.2.6. リスクの高いオブジェクトの特定

Vulnerability Management ビューを使用して、環境内の主要なリスクオブジェクトを特定します。Top Risky ウィジェットは、環境内のトップリスクのイメージ、デプロイメント、クラスター、および namespace に関する情報を表示します。このリスクは、脆弱性の数と CVSS スコアに基づいて決定されます。

手順

RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
Top Risky ウィジェットヘッダーを選択して、リスクイメージ、デプロイメント、クラスター、および namespace の中から選択します。
グラフの小さな円は、選択したオブジェクト (イメージ、デプロイメント、クラスター、namespace) を表します。円にマウスをかざし、その円が表すオブジェクトの概要を確認します。円を選択して、選択したオブジェクト、その関連エンティティー、およびエンティティー間の接続に関する詳細情報を表示します。
たとえば、Top Risky Deployments by CVE Count and CVSS score を表示する場合には、グラフの各円はデプロイメントを表します。
- デプロイメントにカーソルを合わせると、デプロイメントの概要が表示されます。これには、デプロイメント名、クラスターと namespace の名前、重大度、リスクの優先度、CVSS、および CVE カウント (修正可能を含む) が含まれます。
- デプロイメントを選択すると、選択したデプロイメントの Deployment ビューが開きます。Deployment ビューには、デプロイメントの詳細情報が表示され、そのデプロイメントのポリシー違反、共通脆弱性、CVE、およびリスクイメージに関する情報が含まれます。
ウィジェットヘッダーで View All を選択して、選択したタイプのオブジェクトをすべて表示します。たとえば、Top Risky Deployments by CVE Count and CVSS score を選択した場合には、View All を選択して、インフラストラクチャー内のすべてのデプロイメントに関する詳細情報を表示できます。

14.2.7. 最もリスクの高いイメージとコンポーネントの特定

Top Risky と同様に、Top Riskiest ウィジェットには、最もリスクの高いイメージとコンポーネントの名前がリスト表示されます。このウィジェットには、リストされたイメージ内の CVE の総数と修正可能な CVE の数も含まれています。

手順

RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
Top Riskiest Images ウィジェットヘッダーを選択して、リスクイメージとコンポーネントを選択します。Top Riskiest Images を表示する場合は、以下を実行します。
- リスト内のイメージにカーソルを合わせると、イメージの概要が表示されます。これには、イメージ名、スキャン時間、CVE の数、重大度 (クリティカル、高、中、低) が含まれます。
- イメージを選択すると、選択したイメージの Image ビューが開きます。Image ビューには、イメージの詳細が表示され、CVSS スコア別の CVE、最もリスクの高いコンポーネント、修正可能な CVE、およびイメージの Dockerfile に関する情報が含まれます。
ウィジェットヘッダーで View All を選択して、選択したタイプのオブジェクトをすべて表示します。たとえば、Top Riskiest Components を選択した場合は、View All を選んでインフラストラクチャー内のすべてのコンポーネントに関する詳細情報を表示できます。

14.2.8. イメージの Dockerfile の表示

Vulnerability Management ビューを使用して、イメージの脆弱性の根本的な原因を検索します。Dockerfile を表示して、Dockerfile 内のどのコマンドが脆弱性を導入したか、およびその単一のコマンドに関連付けられているすべてのコンポーネントを正確に見つけることができます。

Dockerfile セクションには、次の情報が表示されます。

Dockerfile のすべてのレイヤー
各レイヤーの命令とその値
各レイヤーに含まれるコンポーネント
各レイヤーのコンポーネントの CVE 数

特定のレイヤーで導入されたコンポーネントがある場合は、デプロイメントアイコンを選択してコンポーネントの概要を表示できます。これらのコンポーネントに CVE がある場合は、個別のコンポーネントのデプロイメントアイコンを選択して、そのコンポーネントに影響を与える CVE の詳細を取得できます。

手順

RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
最もリスクの Top Riskiest Images ウィジェットからイメージを選択するか、ダッシュボードの上部にある Images ボタンをクリックしてイメージを選択します。
Image の詳細ビューで、Dockerfile の横にある展開アイコンを選択して、手順、値、作成日、およびコンポーネントの概要を表示します。
詳細情報を表示するには、個別のコンポーネントの展開アイコンを選択します。

14.2.9. ノードの脆弱性の識別の無効化

ノードの脆弱性の識別は、デフォルトで有効にされています。RHACS ポータルから無効にできます。

手順

RHACS ポータルで、Platform Configuration Integrations に移動します。
Image Integrations セクションで StackRox Scanner を選択します。
スキャナーのリストから StackRox スキャナーを選択して詳細を表示します。
Types から Node Scanner オプションを削除します。
Save を選択します。

14.2.10. 非アクティブなイメージのスキャン

Red Hat Advanced Cluster Security for Kubernetes (RHACS) は、4 時間ごとにアクティブな (デプロイされた) イメージをすべてスキャンし、イメージスキャンの結果を更新して最新の脆弱性定義を反映します。

非アクティブな (デプロイメントされていない) イメージを自動的にスキャンするように RHACS を設定することもできます。

手順

RHACS ポータルで、Vulnerability Management (2.0) Workload CVEs (Tech preview) に移動します。
<number> Images をクリックしてイメージのリストを表示し、監視するイメージを見つけます。
をクリックし、Watch image を選択します。次に、RHACS はイメージをスキャンし、エラーまたは成功のメッセージを表示します。
(オプション) 監視しているイメージを削除するには、をクリックし、Unwatch image を選択します。
(オプション) ページヘッダーの Manage watched images をクリックすると、監視対象のすべてのイメージのリストを表示し、監視対象のイメージを追加できます。
重要
RHACS ポータルで、Platform Configuration System Configuration をクリックして、データ保持設定を表示します。
ウォッチリストから削除されたイメージに関連するすべてのデータは、System Configuration ページに記載されている日数の間 RHACS ポータルに表示され続け、その期間が終了した後にのみ削除されます。
Close をクリックして、Workload CVEs ページに戻ります。

14.2.11. 特定の CVE をブロックするポリシーの作成

Vulnerability Management ビューから、新しいポリシーを作成したり、既存のポリシーに特定の CVE を追加したりすることができます。

手順

Vulnerability Management ビューヘッダーから CVE をクリックします。
1 つ以上の CVE のチェックボックスを選択し、Add selected CVEs to Policy (add アイコン) をクリックします。または、リストの CVE にマウスを移動して、右側の Add アイコンを選択します。
Policy Name の場合:
- 既存のポリシーに CVE を追加するには、ドロップダウンリストから既存のポリシーを選択します。
- 新規ポリシーを作成するには、新規ポリシーの名前を入力し、Create <policy_name> を選択します。
Severity の値を選択します (Critical、High、Medium、または Low のいずれか)。
ポリシーを適用する Lifecycle Stage を、Build または Deploy から選択します。また、ライフサイクルステージの両方を選択することもできます。
Description ボックスに、ポリシーの詳細を入力します。
ポリシーを作成して後で有効にする場合は、Enable Policy トグルをオフにします。Enable Policy トグルはデフォルトでオンになっています。
このポリシーに含まれる CVE を確認してください。
Save Policy をクリックします。

14.2.12. 最近検出された脆弱性の表示

Vulnerability Management ビューの Recently Detected Vulnerabilities ウィジェットには、スキャン時間と CVSS スコアに基づいて、スキャンイメージで最近検出された脆弱性のリストが表示されます。また、CVE の影響を受けるイメージの数と、お使いの環境への影響 (パーセンテージ) に関する情報も含まれます。

リスト内の CVE にカーソルを合わせると、CVE の概要が表示されます。これには、スキャン時間、CVSS スコア、説明、影響、および CVSSv2 と v3 のどちらを使用してスコアリングされたかが含まれます。
CVE を選択すると、選択した CVE の詳細ビューが開きます。CVE の詳細ビューには、表示される CVE およびコンポーネント、イメージ、デプロイメントおよびデプロイメントの詳細が表示されます。
Recently Detected Vulnerabilities ウィジェットヘッダーで View All を選択し、インフラストラクチャー内のすべての CVE のリストを表示します。CVE の一覧をフィルタリングすることもできます。

14.2.13. 最も一般的な脆弱性の表示

Vulnerability Management ビューの Most Common Vulnerabilities ウィジェットには、CVSS スコアで配置されたデプロイメントやイメージの最大数に影響を与える脆弱性のリストが表示されます。

リスト内の CVE にカーソルを合わせると、CVE の概要が表示されます。これには、スキャン時間、CVSS スコア、説明、影響、および CVSSv2 と v3 のどちらを使用してスコアリングされたかが含まれます。
CVE を選択すると、選択した CVE の詳細ビューが開きます。CVE の詳細ビューには、表示される CVE およびコンポーネント、イメージ、デプロイメントおよびデプロイメントの詳細が表示されます。
Most Common Vulnerabilities ウィジェットヘッダーで View All を選択し、インフラストラクチャー内のすべての CVE のリストを表示します。CVE の一覧をフィルタリングすることもできます。CVE を CSV ファイルとしてエクスポートするには、Export Download CVES as CSV の順に選択します。

14.2.14. 最も深刻なポリシー違反があるデプロイメントの特定

Vulnerability Management ビューのDeployments with most severe policy violations ウィジェットには、デプロイメントに影響する脆弱性の重大度のリストが表示されます。

リストのデプロイメントにカーソルを合わせると、デプロイメントの概要が表示されます。これには、デプロイメント名、クラスターの名前、デプロイメントが存在する namespace、失敗したポリシーとその重大度の数が含まれます。
デプロイメントを選択すると、選択したデプロイメントの Deployment ビューが開きます。Deployment ビューには、デプロイメントの詳細情報が表示され、そのデプロイメントのポリシー違反、共通脆弱性、CVE、およびリスクイメージに関する情報が含まれます。
Most Common Vulnerabilities ウィジェットヘッダーで View All を選択し、インフラストラクチャー内のすべての CVE のリストを表示します。CVE の一覧をフィルタリングすることもできます。CVE を CSV ファイルとしてエクスポートするには、Export Download CVES as CSV の順に選択します。

14.2.15. Kubernetes および Istio の脆弱性の多くのクラスターの検索

Vulnerability Management ビューを使用して、環境内の Kubernetes および Istio の脆弱性の多くのクラスターを特定します。

Clusters with most K8S & Istio Vulnerabilities ウィジェットには、各クラスターの Kubernetes と Istio の脆弱性の数でランク付けされたクラスターのリストが表示されます。リストの一番上にあるクラスターは、脆弱性の数が最も多いクラスターです。

手順

リストからクラスターの 1 つをクリックして、クラスターの詳細を表示します。Cluster ビューには以下が含まれます。
- Cluster Details セクションには、クラスターの詳細とメタデータ、最もリスクの高いオブジェクト (デプロイメント、名前空間、およびイメージ)、最近検出された脆弱性、最もリスクの高いイメージ、および最も重大なポリシー違反のあるデプロイメントが表示されます。
- Cluster Findings セクション。これには、失敗したポリシーのリストおよび修正可能な CVE のリストが含まれます。
- Related Entities セクション。クラスターに含まれる namespace、デプロイメント、ポリシー、イメージ、コンポーネント、CVE の数が表示されます。これらのエンティティーを選択して、詳細情報を表示できます。
ウィジェットヘッダーの View All をクリックして、すべてのクラスターのリストを表示します。

14.2.16. ノードの脆弱性の特定

Vulnerability Management ビューを使用して、ノードの脆弱性を特定できます。特定された脆弱性には、以下のような脆弱性が含まれます。

コア Kubernetes コンポーネント。
コンテナーランタイム (Docker、CRI-O、runC、および containerd)。
注記
- Red Hat Advanced Cluster Security for Kubernetes は以下のオペレーティングシステムの脆弱性を特定できます。
  Amazon Linux 2
  CentOS
  Debian
  Garden Linux (Debian 11)
  Red Hat Enterprise Linux CoreOS (RHCOS)
  Red Hat Enterprise Linux (RHEL)
  Ubuntu (AWS、Microsoft Azure、GCP、および GKE の特定のバージョン)

手順

RHACS ポータルで、Vulnerability Management Dashboard に移動します。
Dashboard ビューのヘッダーで Nodes を選択すると、ノードに影響を与えるすべての CVE のリストが表示されます。
リストからノードを選択し、そのノードに影響するすべての CVE の詳細を表示します。
1. ノードを選択すると、選択したノードの Node の詳細パネルが開きます。Node ビューには、ノードの詳細が表示され、CVSS スコア別の CVE およびそのノードの修正可能な CVE に関する情報が含まれます。
2. 選択したノードのすべての CVE のリストを表示するには、CVEs by CVSS score で、View All を選択します。CVE の一覧をフィルタリングすることもできます。
3. 修正可能な CVE を CSV ファイルとしてエクスポートするには、Node Findings セクションで Export as CSV を選択します。