红帽全球峰会1.2. 中央服务
您可以在单个集群中安装 Central 服务。这些服务包括以下组件:
- Central : Central 是 RHACS 应用程序管理界面和服务。它处理 API 交互和用户界面 (RHACS Portal) 访问。您可以使用同一中实例来保护多个 OpenShift Container Platform 或 Kubernetes 集群。
- Central DB : Central DB 是 RHACS 的数据库,并处理所有数据持久性。它目前基于 PostgreSQL 13。
扫描程序 V4 :从版本 4.4 开始,RHACS 包含 Scanner V4 漏洞扫描程序,用于扫描容器镜像。扫描程序 V4 基于 ClairCore 构建,同时还支持 Clair 扫描程序。扫描程序 V4 支持扫描语言和特定于操作系统的镜像组件。对于版本 4.4,您必须将这个扫描程序与 StackRox Scanner 结合使用,以提供节点和平台扫描功能,直到 Scanner V4 支持这些功能。scanner V4 包含 Indexer、Matcher 和 DB 组件。
- scanner V4 Indexer: Scanner V4 Indexer 执行镜像索引,之前被称为镜像分析。根据镜像和 registry 凭证,索引程序会从 registry 中拉取镜像。它找到基础操作系统(如果存在),并查找软件包。它存储和输出索引报告,其中包含给定镜像的查找。
- scanner V4 Matcher: Scanner V4 Matcher 执行漏洞匹配。如果中央服务扫描器 V4 Indexer 对镜像进行索引,则 Matcher 会从 Indexer 获取索引报告,并与 Scanner V4 数据库中存储的漏洞匹配。如果 Secured Cluster services Scanner V4 Indexer 执行索引,则 Matcher 会使用从该索引程序发送的索引报告,然后与漏洞匹配。Matcher 还获取漏洞数据,并使用最新的漏洞数据更新 Scanner V4 数据库。Scanner V4 Matcher 输出漏洞报告,其中包含镜像的最终结果。
- 扫描程序 V4 DB :此数据库存储扫描程序 V4 的信息,包括所有漏洞数据和索引报告。安装了 Central 的集群上 Scanner V4 DB 需要 PVC。
- stackrox Scanner: StackRox Scanner 是 RHACS 中的默认扫描程序。版本 4.4 添加了一个新的扫描程序 Scanner V4。StackRox 扫描程序源自 Clair v2 开源扫描程序的分叉。您必须继续使用此扫描程序进行 RHCOS 节点扫描和平台扫描。
- scanner-DB :此数据库包含 StackRox Scanner 的数据。
RHACS 扫描程序会分析每个镜像层,以确定基础操作系统,并确定操作系统软件包管理器安装的编程语言软件包和软件包。它们与来自各种漏洞来源的已知漏洞匹配。另外,StackRox Scanner 会识别节点的操作系统和平台中的漏洞。这些功能计划在以后的版本中为 Scanner V4。
1.2.1. 漏洞源
RHACS 使用以下漏洞源:
- alpine 安全数据库
- Amazon Linux 安全中心跟踪的数据
- Debian 安全跟踪器
- Oracle OVAL
- Photon OVAL
- Red Hat OVAL
- Red Hat CVE Map :这用于 Red Hat Container Catalog 中显示的镜像。
- SUSE OVAL
- Ubuntu OVAL
OSV :这用于与语言相关的漏洞,如 Go、Java、Node.js (JavaScript)、Python 和 Ruby。这个源可能会为漏洞提供 GitHub 安全公告(GHSA) ID 而不是 CVE 号。
注意RHACS 扫描程序 V4 还使用此许可证下的 OSV.dev 提供的 OSV 数据库。https://github.com/google/osv.dev/blob/master/LICENSE
NVD :这用于各种目的,如在供应商不提供信息时填补信息差距。例如,Alpine 不提供描述、CVSS 分数、严重性或发布日期。
注意此产品使用 NVD API,但不由 NVD 结束或认证。
- stackrox: 上游 StackRox 项目维护一组漏洞,这些漏洞可能会因为来自其他源的数据格式或数据不存在而被发现。
Scanner V4 Indexer 使用以下文件来索引红帽容器:
- repository-to-cpe.json :将 RPM 存储库映射到其相关的 cps,这是匹配基于 RHEL 的镜像的漏洞所必需的。
- container-name-repos-map.json :这与提供它们的存储库匹配。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}