红帽全球峰会This documentation is for a release that is no longer maintained.
You can select a different version or view all RHACS documentation.12.2. 常见任务
本节列出了您可以在 Vulnerability Management
12.2.1. 查找影响您基础架构的关键 CVE
使用 Vulnerability Management 视图来识别影响您的平台最多的 CVE。
流程
- 导航到 RHACS 门户,从导航菜单中点击 Vulnerability Management。
- 在 Vulnerability Management 视图标头中选择 CVE。
- 在 CVEs 视图中,选择 Env Impact 列标题,以根据环境影响降序(最高名)。
12.2.2. 查找最有安全漏洞的镜像组件
使用 Vulnerability Management 视图来识别存在安全漏洞的镜像组件。
流程
- 导航到 RHACS 门户,从导航菜单中点击 Vulnerability Management。
-
在 Vulnerability Management 视图中,选择 Application & Infrastructure
Components。 - 在 组件 视图中,选择 CVEs 列标题,以根据 CVE 计数按降序排列组件(最高先数)。
12.2.3. 识别引入漏洞的容器镜像层
使用 Vulnerability Management 视图来识别存在安全漏洞的组件以及它们出现的镜像层。
流程
- 导航到 RHACS 门户,从导航菜单中点击 Vulnerability Management。
- 从 Top Riskiest Images 小部件中选择镜像,或者单击 Dashboard 顶部的 Images 按钮,然后选择一个镜像。
- 在镜像详情视图中,选择 Dockerfile 旁边的展开图标来查看镜像组件摘要。
- 选择特定组件的扩展图标,以获取有关影响所选组件的 CVE 的更多信息。
12.2.4. 查看只针对可修复的 CVE 的详情
使用 Vulnerability Management 视图过滤和仅显示可修复的 CVE。
流程
- 导航到 RHACS 门户,从导航菜单中点击 Vulnerability Management。
-
在 Vulnerability Management 视图中,选择 Filter CVEs
Fixable。
12.2.5. 识别基础镜像的操作系统
使用 Vulnerability Management 视图来标识基础镜像的操作系统。
流程
- 导航到 RHACS 门户,从导航菜单中点击 Vulnerability Management。
- 从 Vulnerability Management 视图 标头中选择 Images。
- 查看 Image OS 列下所有镜像的基础操作系统(OS)和操作系统版本。
-
选择镜像来查看其详情。基础操作系统也位于 Image Summary
Details 和 Metadata 部分。
当出现以下情况时,Red Hat Advanced Cluster Security for Kubernetes 将镜像操作系统 列为 unknown :
- 操作系统信息不可用,或者
- 如果使用中的镜像扫描程序没有提供此信息。
docker Trusted Registry、Google Container Registry 和 Anchore 不提供此信息。
12.2.6. 识别主要风险对象
使用 Vulnerability Management 视图确定环境中的最大风险对象。Top Risky 小部件显示有关环境中最有风险的镜像、部署、集群和命名空间的信息。风险根据漏洞的数量及其 CVSS 分数来决定。
流程
- 导航到 RHACS 门户,从导航菜单中点击 Vulnerability Management。
选择 Top Risky widget 标头,以选择 riskiest 镜像、部署、集群和命名空间。
Chart 上的小圆圈代表所选对象(镜像、部署、集群、命名空间)。将鼠标悬停在圆圈上,以查看它们所代表的对象概述。并选择圆圈来查看所选对象、相关实体和它们之间的连接的详细信息。
例如,如果您要 按 CVE Count 和 CVSS 分数查看顶级风险部署,则图表上的每个圆圈代表一个部署。
- 当您将鼠标悬停在部署之上时,您会看到部署概述,其中包括部署名称、集群和命名空间的名称、严重性、风险优先级、CVSS 和 CVE 计数(包括可以修复)。
- 当您选择部署时,会为所选部署打开 Deployment 视图。Deployment 视图显示部署的深入详情,包括有关该部署的策略违反、常见漏洞、CVE 和风险镜像的信息。
- 选择 View All on the widget 标头来查看所选类型的所有对象。例如,如果您 按 CVE Count 和 CVSS 分数选择 Top Risky Deployments,您可以选择 View All 来查看基础架构中所有部署的详细信息。
12.2.7. 识别最有风险的镜像和组件
与 Top Risky 类似,Top Riskiest 小部件列出了最风险的镜像和组件的名称。此小部件还包括所列镜像中的 CVE 总数以及可修复的 CVE 数量。
流程
- 导航到 RHACS 门户,从导航菜单中点击 Vulnerability Management。
选择 Top Riskiest Images widget 标头,以选择风险的镜像和组件。如果您要查看 顶级风险镜像 :
- 当您将鼠标悬停在列表中的镜像上时,您会看到镜像概述,其中包括镜像名称、扫描时间以及 CVE 的数量,以及严重性(关键、高、中等和低)。
- 当您选择镜像时,会针对所选镜像打开 Image 视图。Image 视图显示镜像的深入详情,包括 CVSS 分数、主要风险组件、可修复的 CVE 以及镜像的 Dockerfile 的信息。
- 选择 View All on the widget 标头来查看所选类型的所有对象。例如,如果您选择了 Top Riskiest 组件,您可以选择 View All 来查看基础架构中所有组件的详细信息。
12.2.8. 查看镜像的 Dockerfile
使用 Vulnerability Management 视图来查找镜像中漏洞的根本原因。您可以查看 Dockerfile 并准确查找 Dockerfile 中引入漏洞以及与该单个命令关联的所有组件。
Dockerfile 部分显示以下信息:
- Dockerfile 中的所有层
- 每个层的说明及其值
- 每个层中包含的组件
- 每个层组件中的 CVE 数量
当特定层引入的组件时,您可以选择扩展图标来查看其组件的摘要。如果这些组件中有任何 CVE,您可以选择单独组件的扩展图标,以获取有关影响该组件的 CVE 的更多详细信息。
流程
- 导航到 RHACS 门户,从导航菜单中点击 Vulnerability Management。
- 从 Top Riskiest Images 小部件中选择镜像,或者单击 Dashboard 顶部的 Images 按钮,然后选择一个镜像。
- 在镜像详情视图中,选择 Dockerfile 旁边的展开图标来查看指令、值、创建日期和组件的摘要。
- 选择单个组件的展开图标来查看更多信息。
12.2.9. 禁用在节点中识别漏洞
默认启用识别节点中的漏洞。您可以从 RHACS 门户禁用它。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 下,选择 StackRox Scanner。
- 从扫描程序列表中,选择 StackRox Scanner 来查看其详情。
- 从类型中删除 Node Scanner 选项。
- 选择 Save。
12.2.10. 扫描不活跃的镜像
Red Hat Advanced Cluster Security for Kubernetes (RHACS)每 4 小时扫描所有活跃的(部署)镜像,并更新镜像扫描结果以反映最新的漏洞定义。
您还可以将 RHACS 配置为自动扫描不活跃(未部署)镜像。
流程
- 在 RHACS 门户中,进入 Vulnerability Management > Dashboard。
- 在 Dashboard 视图标头中,选择 IMAGES。
- 单击 MANAGE WATCHES,以管理监视镜像的扫描。
在 MANAGE WATCHED IMAGES 对话框中,输入您要为其启用扫描的不活跃镜像名称。
验证您是否输入镜像名称而不是镜像 ID
。镜像名称是完全限定镜像名称,以 registry 开头并以标签结尾。例如,docker.io/vulnerables/cve-2017-7494:latest。- 选择 ADD IMAGE。然后 RHACS 扫描镜像并显示错误或成功信息。
(可选)点击 REMOVE WATCH 从 watchlist 中删除镜像。
重要在 RHACS 门户中,点 Platform Configuration > System Configuration 查看数据保留配置。
与从监视列表中删除的镜像相关的所有数据都会在 System Configuration 页面中提到的天数显示在 RHACS 门户中,且仅在该周期之后删除。
- 选择 RETURN TO IMAGE LIST 来查看 IMAGES 页面。
12.2.11. 创建策略来阻止特定 CVE
您可以从 Vulnerability Management 视图创建新策略或将特定的 CVE 添加到现有策略中。
流程
- 从 Vulnerability Management 视图标头中点 CVE。
-
为一个或多个 CVE 选择复选框(左栏),然后单击 Add selected CVE to Policy (
添加图标)。或者,将鼠标移到列表中的 CVE 中,然后选择右侧的 Add 图标。 对于策略名称 :
- 要将 CVE 添加到现有策略,请从下拉列表中选择现有策略。
- 要创建新策略,请输入新策略的名称,然后选择 Create <policy_name>。
- 为 Severity 选择一个值,可以是 Critical、High、Medium 或 Low。
- 选择您的策略适用的 Lifecycle Stage,从 Build、或 Deploy。您还可以选择两个生命周期阶段。
- 在 Description 框中输入策略详情。
- 如果要创建策略但稍后启用它,请关闭 Enable Policy 切换。Enable Policy 切换默认是 on。
- 验证此策略中包含的 CVE。
- 点 Save Policy。
12.2.12. 查看最近检测到的漏洞
Recently Detected Vulnerabilities widget on the Vulnerability Management 视图中可根据扫描时间和 CVSS 分数显示扫描镜像中最近发现的漏洞列表。它还包含有关受 CVE 影响的镜像数量及其影响(百分比)的信息。
- 将鼠标悬停在列表中的 CVE 上时,您会看到 CVE 概述,其中包括扫描时间、CVSS 分数、描述、影响以及使用 CVSS v2 或 v3 分数。
- 当您选择 CVE 时,CVE 详情视图会为所选 CVE 打开。CVE 详情视图显示了所出现的 CVE 和组件、镜像和部署的深入详情。
- 选择 View All on the Recently Detected Vulnerabilities widget 标头来查看基础架构中所有 CVE 列表。您还可以过滤 CVE 列表。
12.2.13. 查看最常见的漏洞
漏洞管理 视图中的最常见 漏洞 小部件显示影响 CVSS 分数所安排的最大部署和镜像的漏洞列表。
- 将鼠标悬停在列表中的 CVE 上时,您会看到 CVE 概述,其中包括:扫描时间、CVSS 分数、描述、影响,以及是否通过使用 CVSS v2 或 v3 进行评分。
- 当您选择 CVE 时,CVE 详情视图会为所选 CVE 打开。CVE 详情视图显示了所出现的 CVE 和组件、镜像和部署的深入详情。
-
选择 View All on the Most Common Vulnerabilities widget 标头来查看基础架构中所有 CVE 列表。您还可以过滤 CVE 列表。要将 CVE 导出为 CSV 文件,请选择 Export
Download CVES 作为 CSV。
12.2.14. 识别具有最严重策略违反的部署
在 漏洞管理 视图中 具有最严重的策略违反 小部件的部署列表,显示影响该部署的漏洞列表和严重性。
- 当您将鼠标悬停在列表中的部署上时,您会看到部署概述(包括部署名称)、集群的名称以及部署所在的命名空间,以及失败的策略及其严重性。
- 当您选择部署时,会为所选部署打开 Deployment 视图。Deployment 视图显示部署的深入详情,包括有关该部署的策略违反、常见漏洞、CVE 和风险镜像的信息。
-
选择 View All on the Most Common Vulnerabilities widget 标头来查看基础架构中所有 CVE 列表。您还可以过滤 CVE 列表。要将 CVE 导出为 CSV 文件,请选择 Export
Download CVES 作为 CSV。
12.2.15. 查找带有大多数 Kubernetes 和 Istio 漏洞的集群
使用 Vulnerability Management 视图来标识环境中具有大多数 Kubernetes 和 Istio 漏洞的集群。
带有 K8S 和 Istio Vulnerabilities widget 的集群显示集群列表,每个集群中的 Kubernetes 和 Istio 漏洞的数量排名。列表顶部的集群是具有最高漏洞数量的集群。
流程
点击列表中的某个集群查看集群的详情。Cluster view 包括:
- Cluster Details 部分,显示集群详情和元数据、最高风险对象(部署、命名空间和镜像)、最近检测到的漏洞、风险镜像以及具有最严重的策略违反的部署。
- Cluster Findings 部分,其中包括失败策略列表以及可修复的 CVE 列表。
- 相关实体 部分显示集群包含的命名空间、部署、策略、策略、镜像、组件和 CVE 的数量。您可以选择这些实体来查看更多详情。
- 单击 View All on the widget 标头,以查看所有集群的列表。
12.2.16. 识别节点中的漏洞
您可以使用 Vulnerability Management 视图来识别节点中的漏洞。发现的漏洞包括:
- Kubernetes 核心组件。
容器运行时(Docker、CRI-O、runC 和 containerd)。
注意- Red Hat Advanced Cluster Security for Kubernetes 不支持识别 OpenShift Container Platform 中节点的漏洞。
Red Hat Advanced Cluster Security for Kubernetes 可识别以下操作系统中的漏洞:
- Amazon Linux 2
- CentOS
- Debian
- Garden Linux (Debian 11)
- Red Hat Enterprise Linux (RHEL)
- Ubuntu (AWS、Azure、GCP 和 GKE 特定版本)
流程
- 选择 Vulnerability Management 视图标头中的 节点 来查看影响您节点的所有 CVE 列表。
从列表中选择一个节点,查看影响该节点的所有 CVE 的详细信息。
- 当您选择节点时,会为所选节点打开 Node details 面板。Node 视图显示节点的深度详情,包括 CVSS 分数为这个节点的 CVE 的信息,以及可修复的 CVE。
- 选择 View All on the CVE by CVSS 分数 小部件标头来查看所选节点中的所有 CVE 列表。您还可以过滤 CVE 列表。
- 要将可修复的 CVE 导出为 CSV 文件,请在 Node Findings 部分下选择 Export as CSV。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}