第14章 イメージ脆弱性スキャナーとの統合
Red Hat Advanced Cluster Security for Kubernetes (RHACS) は、脆弱性スキャナーと統合されているため、コンテナーイメージをインポートして、脆弱性を監視できます。
サポート対象のコンテナーイメージレジストリー
Red Hat は、次のコンテナーイメージレジストリーをサポートしています。
- Amazon Elastic Container Registry (ECR)
-
汎用 Docker レジストリー (任意の汎用 Docker または Open Container Initiative 準拠のイメージレジストリー、たとえば、DockerHub、
gcr.io、mcr.microsoft.com) - Google Container Registry
- Google Artifact Registry
- IBM Cloud Container Registry
- JFrog Artifactory
- Microsoft Azure Container Registry (ACR)
- Red Hat Quay
-
Red Hat レジストリー (
registry.redhat.io、registry.access.redhat.com) - Sonatype Nexus
この強化されたサポートにより、優先レジストリーでコンテナーイメージを管理する際の柔軟性と選択肢がさらに広がります。
サポート対象のスキャナー
次の商用コンテナーイメージ脆弱性スキャナからイメージ脆弱性データを取得するように RHACS を設定できます。
RHACS に含まれるスキャナー
Scanner V4 (テクノロジープレビュー): RHACS バージョン 4.4 以降、Clair スキャナーにも利用されている ClairCore 上に構築された新しいスキャナーが導入されました。Scanner V4 は、言語および OS 固有のイメージコンポーネントのスキャンをサポートしています。このスキャナーを使用するために統合を作成する必要はありませんが、インストール中またはインストール後にスキャナーを有効にする必要があります。バージョン 4.4 でこのスキャナーを有効にする場合は、StackRox Scanner も有効にする必要があります。インストールドキュメントへのリンクなど、Scanner V4 の詳細は、RHACS Scanner V4 について を参照してください。
重要Scanner V4 はテクノロジープレビューのみの機能です。テクノロジープレビュー機能は、Red Hat 製品サポートのサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat では、実稼働環境での使用を推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
- StackRox Scanner: このスキャナーは、RHACS のデフォルトのスキャナーです。これは、Clair v2 オープンソーススキャナーのフォークから生まれました。Scanner V4 を有効にした場合は、RHCOS ノードと、Red Hat OpenShift、Kubernetes、Istio などのプラットフォームの脆弱性のスキャンを提供するために、このスキャナーも有効にする必要があります。この機能は、今後のリリースの Scanner V4 でサポートされる予定です。
代替スキャナー
- Clair: バージョン 4.4 以降の RHACS では、Scanner V4 を有効にすると、Clair V4 スキャナーにも利用されている ClairCore の機能を提供できます。一方、統合を設定すると、Clair V4 をスキャナーとして設定できます。
- Google Container Analysis
- Red Hat Quay
StackRox Scanner は、Scanner V4 (オプション) と併せて RHACS で使用することが推奨されるイメージ脆弱性スキャナーです。StackRox Scanner および Scanner V4 を使用したコンテナーイメージのスキャンの詳細は、イメージのスキャン を参照してください。
DevOps ワークフローでこれらの代替スキャナーのいずれかを使用する場合は、RHACS ポータルを使用して脆弱性スキャナーとの統合を設定できます。統合後、RHACS ポータルにイメージの脆弱性が表示されるため、簡単にトリアージできます。
複数のスキャナーが設定されている場合、RHACS は StackRox/RHACS 以外のスキャナーと Clair スキャナーの使用を試みます。これらのスキャナーが失敗した場合、RHACS は設定された Clair スキャナーの使用を試みます。それが失敗した場合、RHACS は Scanner V4 の使用を試みます (設定されている場合)。Scanner V4 が設定されていない場合、RHACS は StackRox Scanner の使用を試みます。
14.1. Clair との統合
バージョン 4.4 以降、Clair スキャン機能は RHACS の新しいスキャナーである Scanner V4 で利用できるようになりました。個別の統合は必要ありません。このセクションの手順は、Clair V4 スキャナーを使用している場合にのみ必要です。
Scanner V4 はテクノロジープレビューのみの機能です。テクノロジープレビュー機能は、Red Hat 製品サポートのサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat では、実稼働環境での使用を推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
次のガイドラインに注意してください。
- Red Hat は、RHACS 3.74 以降、Clair V4 統合を優先して、以前の CoreOS Clair 統合を非推奨にしました。Clair V4 スキャナーを使用するには、別の統合が必要でした。バージョン 4.4 以降、Scanner V4 を使用している場合、この統合は必要なくなりました。
- 次の RHACS 4.0 のバージョンで、Clair V4 統合用の JWT ベースの認証 オプションをサポートする予定はありません。
手順
-
RHACS ポータルで、Platform Configuration
Integrations に移動します。 - Image Integrations セクションで、Clair v4 を選択します。
- New integration をクリックします。
以下のフィールドに詳細を記入します。
- Integration name: インテグレーションの名前。
- Endpoint: スキャナーのアドレス。
- オプション: レジストリーへの接続時に TLS 証明書を使用していない場合は、Disable TLS certificate validation (insecure) を選択します。
- (オプション) Test をクリックして、選択したレジストリーとの統合が機能していることをテストします。
- Save をクリックします。
