Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 12 章 管理漏洞

您的环境中的安全漏洞可能会被攻击者利用,以执行未经授权的操作,如拒绝服务、远程代码执行或未经授权访问敏感数据。因此,对漏洞的管理是成功实现 Kubernetes 安全计划的基本步骤。

12.1. 漏洞管理流程
复制链接

漏洞管理是一种连续过程,可识别和修复漏洞。Red Hat Advanced Cluster Security for Kubernetes 可帮助您促进漏洞管理流程。

成功的漏洞管理程序通常包括以下重要任务:

  • 执行资产评估
  • 对漏洞进行优先级排序
  • 评估暴露
  • 采取操作
  • 持续重新评估资产

Red Hat Advanced Cluster Security for Kubernetes 可帮助组织在其 OpenShift Container Platform 和 Kubernetes 集群上执行持续评估。它为组织提供了它们所需的上下文信息,以便更加有效地对漏洞进行优先排序。

12.1.1. 执行资产评估
复制链接

对机构资产进行评估涉及以下操作:

  • 识别您环境中的资产。
  • 扫描这些资产以识别已知的漏洞。
  • 报告环境中的漏洞,以影响的利益相关者。

当您在 Kubernetes 或 OpenShift Container Platform 集群上安装 Red Hat Advanced Cluster Security for Kubernetes 时,它首先聚合到集群中运行的资产,以帮助您识别这些资产。Red Hat Advanced Cluster Security for Kubernetes 允许机构对 OpenShift Container Platform 和 Kubernetes 集群进行持续评估。它为组织提供了上下文信息,以便更加有效地在其环境中对漏洞进行优先级和操作。

使用 Red Hat Advanced Cluster Security for Kubernetes 监控机构漏洞管理流程的重要资产包括:

  • 组件 :组件是可以作为镜像的一部分或节点上运行的软件包。组件是存在漏洞的最低级别。因此,组织必须以某种方式升级、修改或删除软件组件来修复漏洞。
  • Image :一系列软件组件和代码,用于创建环境来运行代码的可执行部分。镜像是您升级组件以修复漏洞的位置。
  • 节点 :用于通过 OpenShift 或 Kubernetes 和构成 OpenShift Container Platform 或 Kubernetes 服务的组件来管理并运行应用程序的服务器。

Red Hat Advanced Cluster Security for Kubernetes 将这些资产分组到以下结构中:

  • 部署 :Kubernetes 中应用的定义,可以基于一个或多个镜像运行带有容器的 pod。
  • 命名空间 :对支持并隔离应用程序的部署等资源进行分组。
  • 集群 :一组节点用于通过 OpenShift 或 Kubernetes 运行应用。

Red Hat Advanced Cluster Security for Kubernetes 扫描已知漏洞的资产,并使用常见漏洞和暴露(CVE)数据来评估已知漏洞的影响。

12.1.1.1. 查看应用程序漏洞
复制链接

您可以查看 Red Hat Advanced Cluster Security for Kubernetes 中的应用程序漏洞。

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Dashboard
  2. Dashboard 视图中,选择 Application & Infrastructure NamespacesDeployments
  3. 在列表中,搜索并 选择您要查看的 命名空间或 Deployment
  4. 要获取有关应用程序的更多信息,请从右侧的 实体中选择实体

12.1.1.2. 查看镜像漏洞
复制链接

您可以查看 Red Hat Advanced Cluster Security for Kubernetes 中的镜像漏洞。

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Dashboard
  2. Dashboard 视图中,选择 Images

  3. 从镜像列表中,选择您要调查的镜像。您还可以执行以下步骤之一过滤列表:

    1. 在搜索栏中输入 Image,然后选择 Image 属性。
    2. 在搜索栏中输入镜像名称。
  4. 在镜像详情视图中,查看列出的 CVE 并优先选择处理受影响组件的操作。
  5. 从右侧的 实体 中选择 组件,以获取有关受所选镜像影响的所有组件的更多信息。或者,在 Image findings 部分的 Affected components 列中选择组件,以了解受特定 CVE 影响的组件列表。

其他资源

12.1.1.3. 查看基础架构漏洞
复制链接

您可以使用 Red Hat Advanced Cluster Security for Kubernetes 查看节点中的漏洞。

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Dashboard
  2. Dashboard 视图中,选择 Application & Infrastructure Cluster
  3. 在集群列表中,选择您要调查的集群。
  4. 查看集群漏洞和优先级对集群中的受影响节点采取措施。

12.1.1.4. 查看节点漏洞
复制链接

您可以使用 Red Hat Advanced Cluster Security for Kubernetes 查看特定节点中的漏洞。

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Dashboard
  2. Dashboard 视图中,选择 Nodes
  3. 从节点列表中,选择您要调查的节点。
  4. 查看所选节点的漏洞,以及采取优先级的操作。
  5. 要在节点中获取有关受影响组件的更多信息,请从右侧的 实体 中选择 组件

12.1.2. 对漏洞进行优先级排序
复制链接

回答以下问题,以优先选择环境中用于操作和调查的漏洞:

  • 对您组织而言,一个受影响的资产是多重要?
  • 漏洞需要严重才能调查中?
  • 漏洞是否可由受影响软件组件的补丁修复?
  • 是否存在漏洞是否违反了您组织的任何安全策略?

这些问题的解答可帮助安全性和开发团队决定他们是否想要降低漏洞的暴露程度。

Red Hat Advanced Cluster Security for Kubernetes 为您提供了促进应用程序和组件中漏洞优先级的方法。

12.1.3. 评估暴露
复制链接

要评估您对漏洞的暴露,请回答以下问题:

  • 您的应用程序是否受漏洞的影响?
  • 漏洞是否由其它因素缓解?
  • 是否存在可能导致利用此漏洞的已知威胁?
  • 您是否使用具有该漏洞的软件包?
  • 是否花费时间花费在特定漏洞和软件包中值得关注?

根据您的评估执行以下操作:

  • 如果您确定没有暴露或者您的环境没有应用这个漏洞,请考虑将漏洞标记为假的正状态。
  • 如果您被暴露,请考虑要修复、缓解或接受风险。
  • 考虑是否要删除或更改软件包以减少攻击面。

12.1.4. 采取操作
复制链接

决定采取一个漏洞的操作后,您可以执行以下操作之一:

  • 修复漏洞
  • 减少并接受风险
  • 接受风险
  • 将这个漏洞标记为假的正状态

您可以通过执行以下操作之一修复漏洞:

  • 删除软件包
  • 将软件包更新至一个非安全漏洞的版本。

其他资源

12.1.4.1. 查找新的组件版本
复制链接

以下流程找到要升级到的新组件版本。

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Dashboard
  2. Dashboard 视图中,选择 Images
  3. 从镜像列表中,选择您已评估的镜像。
  4. Image findings 部分下,选择 CVE。
  5. 选择您要采取的 CVE 受影响组件。
  6. 检查 CVE 已修复的组件版本,并更新您的镜像。

12.1.5. 接受风险
复制链接

按照本节中的步骤接受 Red Hat Advanced Cluster Security for Kubernetes 的风险。

前提条件

  • 您必须具有 VulnerabilityManagementRequests 资源 的写入权限

接受没有缓解措施的风险:

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Dashboard
  2. Dashboard 视图中,选择 Images
  3. 从镜像列表中,选择您已评估的镜像。
  4. 找到列出您要执行操作的 CVE 的行。
  5. 点击您标识的 CVE 右侧的 kebab 并点 Defer CVE
  6. 选择您要推迟的 CVE 的日期和时间。
  7. 选择您要推迟所选镜像标签或此镜像的所有标签的 CVE。
  8. 输入 deferral 的原因。
  9. Request approval。选择 CVE 右侧的蓝色信息图标,复制批准链接以与您的机构的防御批准者共享。

12.1.5.1. 将漏洞标记为假的正状态
复制链接

以下流程将漏洞标记为假的正状态。

前提条件

  • 您必须具有 VulnerabilityManagementRequests 资源 的写入权限

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Dashboard
  2. Dashboard 视图中,选择 Images
  3. 从镜像列表中,选择您已评估的镜像。
  4. 找到列出您要执行操作的 CVE 的行。
  5. 点击您标识的 CVE 右侧的 kebab 并点 Defer CVE
  6. 选择您要推迟的 CVE 的日期和时间。
  7. 选择您要推迟所选镜像标签或此镜像的所有标签的 CVE。
  8. 输入 deferral 的原因。
  9. Request approval
  10. 选择 CVE 右侧的蓝色信息图标,复制批准链接以与您的机构的防御批准者共享。

12.1.5.2. 检查假的正数或延迟 CVE
复制链接

使用以下步骤检查假的正误或延迟的 CVE。

前提条件

  • 您必须具有 VulnerabilityManagementApprovals 资源 的写入权限

您可以检查错误的正或延迟的 CVE:

流程

  1. 在浏览器中或 RHACS 门户中打开批准链接。
  2. 导航到 Vulnerability Management Risk Acceptance 并搜索 CVE。
  3. 查看漏洞范围和操作,以确定您是否希望批准它。
  4. 点击 CVE 右侧的 kebab 并批准或拒绝批准请求。

12.1.6. 报告团队漏洞
复制链接

随着组织必须不断重新评估并报告其漏洞,一些组织发现将通信调度到主要利益相关者,以帮助在漏洞管理流程中提供帮助。

您可以使用 Red Hat Advanced Cluster Security for Kubernetes 来通过电子邮件调度这些递归通信。这些通信应限定于关键利益相关者需要的最新信息。

要发送这些通信,您必须考虑以下问题:

  • 与利益相关者通信时,计划将影响最大的计划?
  • 谁是受众?
  • 您是否只发送报告中的特定严重性漏洞?
  • 您只应在报告中发送可修复的漏洞?

12.1.6.1. 调度漏洞管理报告
复制链接

以下流程创建了计划的漏洞报告。

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Reporting
  2. Create report
  3. Report name 字段中输入报告名称。
  4. Repeat report…​下,为您的报告选择一个每周或每月的节奏。
  5. 为报告输入 Description
  6. 选择您要报告可修复的漏洞、特定严重性的漏洞或最近计划报告之后出现的漏洞,选择报告的范围。
  7. 对于 Configure resource scope,请选择应用漏洞的资源范围。
  8. 选择或创建电子邮件通知程序,通过电子邮件发送您的报告,并在通知和分发下配置您的分发 列表。
  9. 选择 Create 以计划报告。

12.1.6.2. 发送漏洞报告
复制链接

以下流程发送漏洞报告。

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Reporting
  2. 从报告列表中,选择报告。
  3. 选择报告右侧的 kebab 并点 Run report now

12.1.6.3. 编辑漏洞报告
复制链接

以下流程编辑漏洞报告。

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Reporting
  2. 从报告列表中,选择报告。
  3. 选择报告右侧的 kebab 并点 Edit
  4. 根据需要修改报告。
  5. Save

12.1.6.4. 删除漏洞报告
复制链接

以下流程删除漏洞报告。

流程

  1. 在 RHACS 门户网站中,导航到 Vulnerability Management Reporting
  2. 从报告列表中,选择报告。
  3. 选择报告右侧的 kebab 并点 Delete report
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat