Red Hat Summit3.2. Central
Central は、Red Hat によって管理される、RHACS Cloud Service のコントロールプレーンです。このサービスには次のコンポーネントが含まれています。
- Central: RHACS アプリケーション管理インターフェイスおよびサービスです。API 対話とユーザーインターフェイス (RHACS ポータル) アクセスを処理します。同じ Central インスタンスを使用して、複数の OpenShift Container Platform または Kubernetes クラスターを保護できます。
- Central DB: Central DB は RHACS のデータベースで、すべてのデータ永続性を処理します。現在、PostgreSQL 13 をベースにしています。
Scanner V4: バージョン 4.4 以降、RHACS にはコンテナーイメージをスキャンするための Scanner V4 脆弱性スキャナーが含まれています。Scanner V4 は、Clair スキャナーにも利用されている Claircore 上に構築されています。Scanner V4 は、言語と OS 固有のイメージコンポーネント、ノード、およびプラットフォームのスキャンをサポートします。Scanner V4 には、Indexer、Matcher、および DB コンポーネントが含まれています。
- Scanner V4 Indexer: Scanner V4 Indexer は、以前はイメージ分析と呼ばれていたイメージのインデックス作成を実行します。イメージとレジストリー認証情報が指定されると、Indexer はレジストリーからイメージをプルし、ベースオペレーティングシステムが存在する場合はそれを見つけて、パッケージを検索します。次に、Indexer は、指定されたイメージの結果を含むインデックスレポートを保存して出力します。
- Scanner V4 Matcher: Scanner V4 Matcher は、脆弱性の照合を実行します。Central にインストールされている Indexer がイメージのインデックスを作成した場合、Matcher はその Indexer からインデックスレポートを取得し、そのレポートを Scanner V4 データベースに保存されている脆弱性と照合します。セキュアクラスターにインストールされている Indexer がインデックス作成を実行した場合、Matcher はその Indexer から送信されたインデックスレポートを使用して、脆弱性と照合します。また、Matcher は脆弱性データを取得し、Scanner V4 データベースを最新の脆弱性データで更新します。Scanner V4 Matcher は、イメージの最終結果を含む脆弱性レポートを出力します。
- Scanner V4 DB: このデータベースには、すべての脆弱性データとインデックスレポートを含む、Scanner V4 の情報が保存されます。Central がインストールされているクラスター上の Scanner V4 DB には、永続ボリューム要求 (PVC) が必要です。
- StackRox Scanner: StackRox Scanner は、Clair v2 オープンソーススキャナーのフォークから派生したもので、Scanner V4 以前の RHACS のデフォルトスキャナーでした。
- Scanner-DB: このデータベースには、StackRox Scanner のデータが含まれています。
RHACS スキャナーは、各イメージレイヤーを分析してベースオペレーティングシステムを特定し、プログラミング言語パッケージとオペレーティングシステムパッケージマネージャーによってインストールされたパッケージを識別します。さまざまな脆弱性ソースからの既知の脆弱性と検出結果を照合します。さらに、ノードのオペレーティングシステムとプラットフォームの脆弱性も特定します。
3.2.1. 脆弱性データソース
脆弱性のソースは、システムで使用されるスキャナーごとに異なります。RHACS には、StackRox Scanner と Scanner V4 の 2 つのスキャナーが含まれています。StackRox Scanner は非推奨となりました。Scanner V4 はデフォルトのイメージスキャナーです。
3.2.1.1. Scanner V4 ソース
Scanner V4 は次の脆弱性ソースを使用します。
- Red Hat VEX
このソースはリリース 4.6 以降で使用されます。このソースは、脆弱性データを Vulnerability Exploitability eXchange (VEX) 形式で提供します。RHACS は VEX の利点を活用して、脆弱性データの初期読み込みに必要な時間と脆弱性データの保存に必要な領域を大幅に削減します。VEX は OVAL よりも精度も向上しています。
RHACS バージョン 4.5 などの OVAL を使用する RHACS バージョンとバージョン 4.6 などの VEX を使用するバージョンでスキャンする場合は、RHACS でリストされる脆弱性の数が異なる場合があります。たとえば、RHACS では、ステータスが "under investigation" の脆弱性は表示されなくなりましたが、これらの脆弱性は OVAL データを使用する以前のバージョンには含まれていました。
Red Hat Ecosystem Catalog からのコンテナーまたはその上に構築されたコンテナーの場合、RHACS は Red Hat の VEX データからの脆弱性のみを表示するオプションを提供します。Red Hat Security チームがそれらのイメージに含まれる脆弱性を精査し、その結果を VEX で報告しているため、Red Hat イメージの VEX データは最も正確です。Red Hat がイメージには適用されないと判断した脆弱性であっても、OSV などの他の脆弱性ソースでは報告されることがあります。これにより、脆弱性の結果に誤検出が発生する可能性があります。Red Hat イメージに VEX データのみを使用する設定を有効にすると、このような誤検出が最小限に抑えられます。
Red Hat コンテナーに VEX データを使用するオプションは、デフォルトでは無効になっています。このオプションを有効にするには、Scanner V4 Matcher で環境変数
ROX_SCANNER_V4_RED_HAT_LAYERS_RED_HAT_VULNS_ONLYをtrueに設定します。まれに、このオプションを使用すると、有効な脆弱性がスキャン結果に表示されなかったり、検出漏れが発生したりする可能性があることに注意してください。たとえば、Red Hat はライフサイクルが終了した製品の脆弱性を追跡しません。また、Red Hat の VEX データには、多くのミドルウェア製品の正確なセキュリティーデータ が欠けていることにも注意してください。OVAL、Common Security Advisory Framework バージョン 2.0 (CSAF)、VEX の使用に関する情報などの Red Hat セキュリティーデータの詳細は、The future of Red Hat security data を参照してください。
- OSV
これは、Go、Java、JavaScript、Python、Ruby などの言語関連の脆弱性に使用されます。このソースは、GitHub Security Advisory (GHSA) ID など、脆弱性の CVE ID 以外の脆弱性 ID を提供する場合があります。
注記RHACS は、Apache License 2.0 の OSV.dev で利用可能な OSV データベースを使用します。
- NVD
ベンダーが情報を提供していない場合に情報のギャップを埋めるなど、さまざまな目的で使用されます。たとえば、Alpine は、詳細、CVSS スコア、重大度、公開日を提供していません。
注記この製品は、NVD API を使用していますが、NVD による承認や認定を受けていません。
- 追加の脆弱性ソース
- Alpine Security Database
- Amazon Linux Security Center で追跡されるデータ
- Debian Security Tracker
- Oracle OVAL
- Photon OVAL
- SUSE OVAL
- Ubuntu OVAL
- StackRox: アップストリームの StackRox プロジェクトは、他のソースからのデータのフォーマットやデータの欠如が原因で発見されていない可能性のある一連の脆弱性を管理しています。
- Scanner V4 Indexer ソース
Scanner V4 Indexer は、次のファイルを使用して Red Hat コンテナーのインデックスを作成します。
- repository-to-cpe.json: RPM リポジトリーを関連する CPE にマッピングします。これは、RHEL ベースのイメージの脆弱性を照合するために必要です。
- container-name-repos-map.json : コンテナー名と、それぞれのリポジトリーを照合します。
3.2.1.2. StackRox Scanner ソース
StackRox Scanner は、次の脆弱性ソースを使用します。
- Red Hat OVAL v2
- Alpine Security Database
- Amazon Linux Security Center で追跡されるデータ
- Debian Security Tracker
- Ubuntu CVE Tracker
NVD: ベンダーが情報を提供していない場合に情報のギャップを埋めるなど、さまざまな目的で使用されます。たとえば、Alpine は、詳細、CVSS スコア、重大度、公開日を提供していません。
注記この製品は、NVD API を使用していますが、NVD による承認や認定を受けていません。
- Linux のマニュアルエントリー と NVD のマニュアルエントリー: アップストリームの StackRox プロジェクトは、他のソースからのデータのフォーマットやデータの欠如が原因で、発見されていない可能性がある一連の脆弱性を管理しています。
- repository-to-cpe.json: RPM リポジトリーを関連する CPE にマッピングします。これは、RHEL ベースのイメージの脆弱性を照合するために必要です。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}