5.3. 오프라인 모드에서 스캐너 정의 업데이트
스캐너는 취약점의 데이터베이스를 유지합니다. RHACS(Red Hat Advanced Cluster Security for Kubernetes)가 일반 모드에서 실행되면 중앙에서 인터넷에서 최신 취약점 데이터를 검색하고 스캐너는 Central에서 취약점 데이터를 검색합니다.
그러나 오프라인 모드에서 RHACS를 사용하는 경우 취약점 데이터를 수동으로 업데이트해야 합니다. 취약점 데이터를 수동으로 업데이트하려면 정의 파일을 Central에 업로드하고 스캐너를 검색한 다음 중앙에서 취약점 데이터를 검색해야 합니다.
온라인 및 오프라인 모드에서 스캐너는 기본적으로 5분마다 중앙에서 새 데이터를 확인합니다. 온라인 모드에서 Central은 약 5-20분마다 인터넷에서 새로운 데이터를 확인합니다.
오프라인 데이터 소스는 약 3시간마다 업데이트됩니다. 데이터가 Central에 업로드되면 스캐너는 데이터를 다운로드하고 로컬 취약점 데이터베이스를 업데이트합니다.
오프라인 모드에서 정의를 업데이트하려면 다음 단계를 수행합니다.
- 정의를 다운로드합니다.
- 정의를 Central에 업로드합니다.
5.3.1. 스캐너 정의 다운로드
오프라인 모드에서 Red Hat Advanced Cluster Security for Kubernetes를 실행하는 경우 스캐너에서 사용하는 취약점 정의 데이터베이스를 다운로드한 다음 Central에 업로드할 수 있습니다.
사전 요구 사항
- 스캐너 정의를 다운로드하려면 인터넷에 액세스할 수 있는 시스템이 필요합니다.
프로세스
정의를 다운로드하려면 다음 작업 중 하나를 수행합니다.
-
권장 사항: RHACS 버전 4.4부터
roxctl scanner download-db --scanner-db-file scanner-vuln-updates.zip명령을 사용하여 정의를 다운로드합니다. - https://install.stackrox.io/scanner/scanner-vuln-updates.zip 로 이동하여 정의를 다운로드합니다.
-
권장 사항: RHACS 버전 4.4부터
추가 리소스
5.3.2. 중앙에 정의 업로드
스캐너 정의를 Central에 업로드하려면 API 토큰 또는 관리자 암호를 사용할 수 있습니다. 각 토큰에 특정 액세스 제어 권한이 할당되므로 프로덕션 환경에서 인증 토큰을 사용하는 것이 좋습니다.
5.3.2.1. API 토큰을 사용하여 중앙에 정의 업로드
API 토큰을 사용하여 스캐너에서 사용하는 취약점 정의 데이터베이스를 Central에 업로드할 수 있습니다.
사전 요구 사항
- 관리자 역할이 있는 API 토큰이 있어야 합니다.
-
roxctl명령줄 인터페이스(CLI)가 설치되어 있어야 합니다.
프로세스
ROX_API_TOKEN및ROX_CENTRAL_ADDRESS환경 변수를 설정합니다.$ export ROX_API_TOKEN=<api_token>
$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
다음 명령을 실행하여 정의 파일을 업로드합니다.
$ roxctl scanner upload-db \ -e "$ROX_CENTRAL_ADDRESS" \ --scanner-db-file=<compressed_scanner_definitions.zip>
5.3.2.1.1. 추가 리소스
5.3.2.2. 관리자 암호를 사용하여 중앙에 정의 업로드
Kubernetes 관리자 암호에 Red Hat Advanced Cluster Security를 사용하여 scanner가 사용하는 취약점 정의 데이터베이스를 Central에 업로드할 수 있습니다.
사전 요구 사항
- 관리자 암호가 있어야 합니다.
-
roxctl명령줄 인터페이스(CLI)가 설치되어 있어야 합니다.
프로세스
ROX_CENTRAL_ADDRESS환경 변수를 설정합니다.$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
다음 명령을 실행하여 정의 파일을 업로드합니다.
$ roxctl scanner upload-db \ -p <your_administrator_password> \ -e "$ROX_CENTRAL_ADDRESS" \ --scanner-db-file=<compressed_scanner_definitions.zip>
