Red Hat Summit13.3. 이미지 스캔
버전 4.4의 경우 RHACS는 StackRox 스캐너 및 스캐너 V4의 두 가지 스캐너를 제공합니다. 두 스캐너 모두 네트워크에 연결된 보안 클러스터의 이미지를 검사할 수 있습니다. 보안 클러스터 스캔은 Operator를 사용하여 배포되거나 위임된 스캔이 사용될 때 배포된 Red Hat OpenShift 환경에서 기본적으로 활성화됩니다. 자세한 내용은 "보장된 이미지 스캔 액세스"를 참조하십시오.
현재 scanner V4가 활성화된 경우에도 RHCOS 노드 및 Red Hat OpenShift, Kubernetes, Istio와 같은 플랫폼 취약점을 검사하려면 StackRox 스캐너를 계속 활성화해야 합니다. scanner V4의 해당 기능에 대한 지원은 향후 릴리스될 예정입니다. StackRox 스캐너를 비활성화하지 마십시오.
StackRox 스캐너를 사용하는 경우 RHACS는 다음 작업을 수행합니다.
- Central은 이미지 검사 요청을 StackRox 스캐너에 제출합니다.
- 이러한 요청을 수신하면 StackRox 스캐너는 관련 레지스트리에서 이미지 계층을 가져와서 이미지를 확인하고 각 계층에서 설치된 패키지를 식별합니다. 그런 다음 확인된 패키지 및 언어별 종속 항목을 취약점 목록과 비교하고 정보를 다시 Central로 보냅니다.
StackRox 스캐너는 다음 영역에서 취약점을 식별합니다.
- 기본 이미지 운영 체제
- 패키지 관리자가 설치한 패키지
- 프로그래밍 언어별 종속 항목
- 프로그래밍 런타임 및 프레임워크
scanner V4를 사용하는 경우 RHACS는 다음 작업을 수행합니다.
- Central은 스캐너 V4 인덱서가 지정된 이미지를 다운로드 및 인덱스(분석)하도록 요청합니다.
- scanner V4 Indexer는 레지스트리에서 이미지 메타데이터를 가져와서 이미지 계층을 확인하고 이전에 인덱싱되지 않은 각 계층을 다운로드합니다.
- scanner V4 Indexer는 인덱싱 프로세스를 지원하는 Central에서 매핑 파일을 요청합니다. scanner V4 Indexer는 인덱스 보고서를 생성합니다.
- 중앙에서는 스캐너 V4가 지정된 이미지와 알려진 취약점과 일치하도록 요청합니다. 이 프로세스는 최종 검사 결과인 취약점 보고를 생성합니다. scanner V4 Matcher는 Central의 최신 취약점을 요청합니다.
- scanner V4 Matcher는 scanner V4 Indexer에서 이미지 인덱싱 결과를 요청합니다. 그런 다음 보고서를 사용하여 관련 취약점을 결정합니다. 이 상호 작용은 중앙 클러스터에서 이미지를 인덱싱할 때만 발생합니다. scanner V4가 보안 클러스터에서 인덱싱된 이미지의 취약점과 일치하는 경우 이러한 상호 작용은 발생하지 않습니다.
- 인덱서는 인덱싱 결과와 관련된 스캐너 V4 DB에 데이터를 저장하여 이미지 계층이 한 번만 다운로드 및 인덱싱되도록 합니다. 이렇게 하면 불필요한 네트워크 트래픽 및 기타 리소스 사용률이 방지됩니다.
- 보안 클러스터 스캔을 활성화하면 센서에서 스캐너 V4를 인덱스 이미지에 요청합니다. scanner V4 Indexer는 동일한 네임스페이스에 Central이 존재하지 않는 한 인덱싱 프로세스를 지원하는 센서의 매핑 파일을 요청합니다. 이 경우 Central이 대신 연락합니다.
13.3.1. 일반적인 스캐너 경고 메시지 이해 및 해결
RHACS(Red Hat Advanced Cluster Security for Kubernetes)로 이미지를 스캔할 때 CVE Data MAY BY INACCURATE 경고 메시지가 표시될 수 있습니다. 스캐너는 이미지의 운영 체제 또는 기타 패키지에 대한 전체 정보를 검색할 수 없는 경우 이 메시지를 표시합니다.
다음 표에서는 몇 가지 일반적인 스캐너 경고 메시지를 보여줍니다.
| 메시지 | 설명 |
|---|---|
|
| 스캐너가 이미지의 기본 운영 체제를 공식적으로 지원하지 않으므로 운영 체제 수준 패키지에 대한 CVE 데이터를 검색할 수 없음을 나타냅니다. |
|
| 이미지의 기본 운영 체제가 수명 종료에 도달했음을 나타냅니다. 이는 취약점 데이터가 오래된 것을 의미합니다. 예를 들어, Debian 8 및 9입니다. 이미지의 구성 요소를 식별하는 데 필요한 파일에 대한 자세한 내용은 보안 취약점에 대한 이미지 검사를 참조하십시오. |
|
| 스캐너가 이미지를 스캔했지만 이미지에 사용된 기본 운영 체제를 확인할 수 없음을 나타냅니다. |
|
|
대상 레지스트리가 네트워크에서 연결할 수 없음을 나타냅니다. 원인은 근본 원인을 분석하려면 프라이빗 레지스트리 또는 리포지토리에 대한 특수 레지스트리 통합을 생성하여 RHACS Central의 Pod 로그를 가져옵니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 이미지 레지스트리와의 통합을 참조하십시오. |
|
| 스캐너가 이미지를 스캔했지만 이미지가 오래되어 Red Hat 스캐너 인증 범위에 속하지 않음을 나타냅니다. 자세한 내용은 Red Hat Vulnerability Scanner Certification 파트너 가이드를 참조하십시오. 중요 Red Hat 컨테이너 이미지를 사용하는 경우 2020년 6월 보다 최신의 기본 이미지를 사용하는 것이 좋습니다. |
13.3.2. 지원되는 운영 체제
이 섹션에 나열된 지원되는 플랫폼은 스캐너가 취약점을 식별하는 배포판이며, Red Hat Advanced Cluster Security for Kubernetes를 설치할 수 있는 지원되는 플랫폼과 다릅니다.
스캐너는 다음 Linux 배포판을 포함하는 이미지의 취약점을 식별합니다. 사용된 취약점 데이터베이스에 대한 자세한 내용은 "RHACS Architecture"의 "Vulnerability Source"를 참조하십시오.
| 콘텐츠 배포 | 버전 |
|---|---|
|
| |
|
| |
| CentOS |
|
|
다음 취약점 소스는 공급 업체에 의해 업데이트되지 않습니다. | |
|
| |
|
| |
|
| |
|
SLES | |
|
다음 취약점 소스는 공급 업체가 업데이트하지 않습니다. |
- StackRox 스캐너에서만 지원됩니다.
- Scanner V4에서만 지원됩니다.
- 2020년 6월 이전의 이미지는 스캐너 V4에서 지원되지 않습니다.
Fedora는 취약점 데이터베이스를 유지 관리하지 않기 때문에 스캐너는 Fedora 운영 체제를 지원하지 않습니다. 그러나 스캐너는 여전히 Fedora 기반 이미지에서 언어별 취약점을 감지합니다.
13.3.3. 지원되는 패키지 형식
스캐너는 다음 패키지 형식을 사용하는 이미지의 취약점을 확인할 수 있습니다.
| 패키지 형식 | 패키지 관리자 |
|---|---|
| jpk | jpk |
| dpkg | apt, dpkg |
| rpm | dnf, microdnf, rpm, yum |
13.3.4. 지원되는 프로그래밍 언어
스캐너는 종속성의 취약점을 다음 프로그래밍 언어를 확인할 수 있습니다.
| 프로그래밍 언어 | 패키지 형식 |
|---|---|
| Go[1] | binaries: 바이너리를 빌드하는 데 사용되는 표준 라이브러리 버전이 분석됩니다. 바이너리가 모듈 지원(go.mod)으로 빌드된 경우 종속성도 분석됩니다. |
| Java | JAR, WAR, EAR, JPI, HPI |
| JavaScript | package.json |
| Python | Eargo, wheel |
| Ruby | gem |
- Scanner V4에서만 지원됩니다.
13.3.5. 지원되는 계층 압축 형식
컨테이너 이미지 계층은 압축 또는 압축 해제될 수 있는 .tar 파일 아카이브입니다. StackRox 스캐너 및 스캐너 V4는 다음 표에 표시된 대로 다양한 형식을 지원합니다.
| 형식 | StackRox 스캐너 지원 | 스캐너 V4 지원 |
|---|---|---|
| 압축 없음 | 제공됨 | 제공됨 |
| bzip2 | 제공됨 | 제공됨 |
| gzip | 제공됨 | 제공됨 |
| xz | 제공됨 | 없음 |
| zstd | 없음 | 제공됨 |
13.3.6. 지원되는 런타임 및 프레임워크
Red Hat Advanced Cluster Security for Kubernetes 3.0.50 (Scanner 버전 2.5.0)부터 StackRox Scanner는 다음 개발자 플랫폼에서 취약점을 식별합니다.
- .NET Core
- ap.NET Core
이는 스캐너 V4에서 지원되지 않습니다.
추가 리소스
13.3.7. 소스 레지스트리에서 미러링된 레지스트리로 이미지 가져오기 리디렉션
RHACS(Red Hat Advanced Cluster Security for Kubernetes)는 다음 OpenShift Container Platform CR(사용자 정의 리소스) 중 하나를 사용하여 구성한 레지스트리 미러의 스캔 이미지를 지원합니다.
-
ImageContentSourcePolicy(ICSP) -
ImageDigestMirrorSet(IDMS) -
ImageTagMirrorSet(ITMS)
이미지 레지스트리 저장소 미러링을 구성하는 방법에 대한 자세한 내용은 "이미지 레지스트리 저장소 미러링 구성"을 참조하십시오.
위임된 이미지 스캔을 사용하여 레지스트리 미러에서 이미지를 자동으로 스캔할 수 있습니다.
위임된 이미지 스캔을 구성하는 방법에 대한 자세한 내용은 "보안 클러스터를 사용하여 이미지 스캔"을 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}