Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 12 章 管理漏洞

攻击者可能会利用您的环境中的安全漏洞来执行未经授权的操作,如拒绝服务、远程代码执行或未授权对敏感数据的访问。因此,对漏洞的管理是成功 Kubernetes 安全计划的基础步骤。

12.1. 漏洞管理流程
复制链接

漏洞管理是识别和修复漏洞的持续流程。Red Hat Advanced Cluster Security for Kubernetes 可帮助您促进漏洞管理流程。

成功的漏洞管理计划通常包括以下关键任务:

  • 执行资产评估
  • 对漏洞进行优先级排序
  • 评估暴露信息
  • 采取行动
  • 持续恢复资产

Red Hat Advanced Cluster Security for Kubernetes 可帮助机构在其 OpenShift Container Platform 和 Kubernetes 集群上执行持续评估。它为组织提供了所需的上下文信息,以便更有效地对环境中的漏洞进行优先级排序和操作。

12.1.1. 执行资产评估
复制链接

对机构资产进行评估涉及以下操作:

  • 识别环境中的资产。
  • 扫描这些资产以识别已知漏洞。
  • 报告您环境中的漏洞,以影响利益相关者。

当您在 Kubernetes 或 OpenShift Container Platform 集群上安装 Red Hat Advanced Cluster Security for Kubernetes 时,它会首先聚合集群中运行的资产,以帮助您识别这些资产。Red Hat Advanced Cluster Security for Kubernetes 允许机构在其 OpenShift Container Platform 和 Kubernetes 集群上执行持续评估。它为组织提供了上下文信息,以便更有效地对环境中的漏洞进行优先级排序和操作。

应该由使用 Red Hat Advanced Cluster Security for Kubernetes 的机构漏洞管理流程监控的重要资产包括:

  • 组件 :组件是可用作镜像一部分的软件包或节点上运行的软件包。组件是存在漏洞的最低级别。因此,组织必须升级、修改或删除软件组件才能修复漏洞。
  • 镜像 :创建环境以运行可执行代码的软件组件和代码集合。镜像是您升级组件以修复漏洞的位置。
  • 节点 :用于管理和运行使用 OpenShift 或 Kubernetes 应用程序的服务器,以及组成 OpenShift Container Platform 或 Kubernetes 服务的组件。

Red Hat Advanced Cluster Security for Kubernetes 将这些资产分组到以下结构中:

  • 部署 :Kubernetes 中的应用程序的定义,它可能根据一个或多个镜像运行带有容器的 pod。
  • 命名空间 :一组资源,如支持并隔离应用程序的 Deployment。
  • 集群 :用于运行使用 OpenShift 或 Kubernetes 的应用的一组节点。

Red Hat Advanced Cluster Security for Kubernetes 会扫描资产中的已知漏洞,并使用常见漏洞和暴露(CVE)数据来评估已知漏洞的影响。

12.1.1.1. 查看应用程序漏洞
复制链接

您可以查看 Red Hat Advanced Cluster Security for Kubernetes 中的应用程序漏洞。

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Dashboard
  2. Dashboard 视图标头中,选择 Application & Infrastructure NamespacesDeployments
  3. 在列表中,搜索并选择 您要查看的 命名空间或 Deployment
  4. 要获取有关应用程序的更多信息,请从右侧的相关实体中选择一个实体。

12.1.1.2. 查看镜像漏洞
复制链接

您可以查看 Red Hat Advanced Cluster Security for Kubernetes 中的镜像漏洞。

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Dashboard
  2. Dashboard 视图标头中,选择 Images

  3. 从镜像列表中,选择您要调查的镜像。您还可以通过执行以下步骤之一过滤列表:

    1. 在搜索栏中输入 Image,然后选择 Image 属性。
    2. 在搜索栏中输入镜像名称。
  4. 在镜像详情视图中,查看列出的 CVE,并优先执行相应的操作来解决受影响的组件。
  5. 从右侧的 Related entities 中选择 Components,以获取有关受所选镜像影响的所有组件的更多信息。或者,在 Image findings 部分的 Affected components 列中选择组件,以了解受特定 CVE 影响的组件列表。

其他资源

12.1.1.3. 查看基础架构漏洞
复制链接

您可以使用 Red Hat Advanced Cluster Security for Kubernetes 查看节点中的漏洞。

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Dashboard
  2. Dashboard 视图标头中选择 Application & Infrastructure Cluster
  3. 从集群列表中选择您要调查的集群。
  4. 查看集群漏洞,并优先执行集群上受影响节点的操作。

12.1.1.4. 查看节点漏洞
复制链接

您可以使用 Red Hat Advanced Cluster Security for Kubernetes 查看特定节点中的漏洞。

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Dashboard
  2. Dashboard 视图标头中选择 Nodes
  3. 从节点列表中,选择您要调查的节点。
  4. 检查所选节点的漏洞以及采取优先级的操作。
  5. 要获取有关节点上受影响组件的更多信息,请从右侧的 相关实体 中选择 组件

12.1.2. 对漏洞进行优先级排序
复制链接

回答以下问题以优先选择您环境中的漏洞进行行动和调查:

  • 对于您的组织而言,受影响的资产非常重要?
  • 在调查漏洞时,需要如何严重?
  • 漏洞是否可以由受影响软件组件的补丁修复?
  • 存在的漏洞是否违反了任何机构的安全策略?

这些问题的回答可帮助安全性和开发团队确定他们是否希望对漏洞的暴露进行量化。

Red Hat Advanced Cluster Security for Kubernetes 为您提供了促进应用程序和组件中漏洞的优先级的方法。

12.1.3. 评估暴露信息
复制链接

要评估您对漏洞的风险,请回答以下问题:

  • 您的应用程序是否受到漏洞的影响?
  • 漏洞是否被其他因素缓解?
  • 是否存在可能导致利用此漏洞的已知威胁?
  • 您正在使用软件包具有该漏洞?
  • 是否将时间花费在特定漏洞上,并且软件包是否值得考虑?

根据您的评估执行以下操作:

  • 如果您确定没有暴露,或者您的环境中没有应用漏洞,请考虑将漏洞标记为假的正状态。
  • 如果您愿意修复、缓解或接受风险,请考虑是否希望修复、缓解或接受风险。
  • 考虑是否要删除或更改软件包以减少您的攻击面。

12.1.4. 采取行动
复制链接

决定对漏洞采取行动后,您可以执行以下操作之一:

  • 修复漏洞
  • 缓解并接受风险
  • 接受风险
  • 将漏洞标记为假正

您可以通过执行以下操作之一修复漏洞:

  • 删除软件包
  • 将软件包更新为一个不可安全的版本。

其他资源

12.1.4.1. 查找新的组件版本
复制链接

以下流程找到要升级到的新组件版本。

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Dashboard
  2. Dashboard 视图标头中,选择 Images
  3. 从镜像列表中选择您已评估的镜像。
  4. Image findings 部分下,选择 CVE。
  5. 选择您要采取的 CVE 的受影响组件。
  6. 查看 CVE 已修复的组件版本并更新您的镜像。

12.1.5. 接受风险
复制链接

按照本节中的说明接受 Red Hat Advanced Cluster Security for Kubernetes 中的风险。

先决条件

  • 您必须具有 VulnerabilityManagementRequests 资源的写入权限。

使用或没有缓解措施接受风险:

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Dashboard
  2. Dashboard 视图标头中,选择 Images
  3. 从镜像列表中选择您已评估的镜像。
  4. 找到列出您要采取行动的 CVE 的行。
  5. 点击您确定的 CVE 右侧的 kebab 并点 Defer CVE
  6. 选择您要延迟 CVE 的日期和时间。
  7. 如果要延迟所选镜像标签的 CVE 或此镜像的所有标签,请选择。
  8. 输入延迟的原因。
  9. Request approval。选择 CVE 右侧的蓝色信息图标,并复制批准链接,以与您的机构延迟批准者共享。

12.1.5.1. 将漏洞标记为假正
复制链接

以下流程将漏洞标记为假正。

先决条件

  • 您必须具有 VulnerabilityManagementRequests 资源的写入权限。

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Dashboard
  2. Dashboard 视图标头中,选择 Images
  3. 从镜像列表中选择您已评估的镜像。
  4. 找到列出您要采取行动的 CVE 的行。
  5. 点击您确定的 CVE 右侧的 kebab 并点 Defer CVE
  6. 选择您要延迟 CVE 的日期和时间。
  7. 如果要延迟所选镜像标签的 CVE 或此镜像的所有标签,请选择。
  8. 输入延迟的原因。
  9. Request approval
  10. 选择 CVE 右侧的蓝色信息图标,并复制批准链接,以与您的机构延迟批准者共享。

12.1.5.2. 查看假的正或延迟的 CVE
复制链接

使用以下步骤检查假的正或延迟的 CVE。

先决条件

  • 您必须具有 VulnerabilityManagementApprovals 资源的写入权限。

您可以检查错误的正或延迟的 CVE:

流程

  1. 在浏览器中或 RHACS 门户中打开批准链接。
  2. 导航到 Vulnerability Management Risk Acceptance 并搜索 CVE。
  3. 查看漏洞范围和操作,以确定您是否要批准它。
  4. 点击 CVE 最右侧的 kebab ,并批准或拒绝批准请求。

12.1.6. 向团队报告漏洞
复制链接

当组织必须不断重新评估并报告其漏洞时,一些组织会发现,有与关键利益相关者的通信会很有帮助,以帮助进行漏洞管理流程。

您可以使用 Red Hat Advanced Cluster Security for Kubernetes 通过电子邮件调度这些周期性通信。这些通信应限定到关键利益相关者需要的最相关信息。

要发送这些通信,您必须考虑以下问题:

  • 与利益相关者通信时,哪些计划会有最大的影响?
  • 谁是受众?
  • 是否只在报告中发送特定的严重性漏洞?
  • 是否只在报告中发送可修复的漏洞?

12.1.6.1. 调度漏洞管理报告
复制链接

以下流程创建了计划的漏洞报告。

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Reporting
  2. Create report
  3. Report name 字段中输入报告的名称。
  4. Repeat report…​下为您的报告选择一个每周或每月的节奏。
  5. 为报告输入 Description
  6. 如果要报告可修复的漏洞、特定严重性的漏洞或仅自上次调度报告以来出现的漏洞,请选择报告的范围。
  7. 对于 Configure resource scope,请选择漏洞应用到的资源范围。
  8. 选择或创建电子邮件通知程序,通过电子邮件发送您的报告,并在通知和发布下配置您的分发 列表。
  9. 选择 Create 以调度报告。

12.1.6.2. 发送漏洞报告
复制链接

以下流程发送漏洞报告。

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Reporting
  2. 从报告列表中,选择报告。
  3. 选择报告右侧的 kebab 并点 Run report

12.1.6.3. 编辑漏洞报告
复制链接

以下流程编辑漏洞报告。

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Reporting
  2. 从报告列表中,选择报告。
  3. 选择报告右侧的 kebab 并点 Edit
  4. 根据需要修改报告。
  5. Save

12.1.6.4. 删除漏洞报告
复制链接

以下流程删除漏洞报告。

流程

  1. 在 RHACS 门户中,进入到 Vulnerability Management Reporting
  2. 从报告列表中,选择报告。
  3. 选择报告右侧的 kebab 并点 Delete report
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat