红帽全球峰会第 14 章 管理漏洞
14.1. 漏洞管理概述
您的环境中的安全漏洞可能会被攻击者利用,例如执行拒绝服务攻击、执行远程代码或获得对敏感数据的未授权访问权限。因此,对漏洞的管理是成功 Kubernetes 安全计划的基础步骤。
14.1.1. 漏洞管理流程
漏洞管理是识别和修复漏洞的持续流程。Red Hat Advanced Cluster Security for Kubernetes 可帮助您促进漏洞管理流程。
成功的漏洞管理计划通常包括以下关键任务:
- 执行资产评估
- 对漏洞进行优先级排序
- 评估暴露信息
- 采取行动
- 持续恢复资产
Red Hat Advanced Cluster Security for Kubernetes 可帮助机构在其 OpenShift Container Platform 和 Kubernetes 集群上执行持续评估。它为组织提供了所需的上下文信息,以便更有效地对环境中的漏洞进行优先级排序和操作。
14.1.1.1. 执行资产评估
对机构资产进行评估涉及以下操作:
- 识别环境中的资产
- 扫描这些资产以识别已知漏洞
- 报告您环境中的漏洞,以影响利益相关者
当您在 Kubernetes 或 OpenShift Container Platform 集群上安装 Red Hat Advanced Cluster Security for Kubernetes 时,它会首先聚合集群中运行的资产,以帮助您识别这些资产。RHACS 允许机构在其 OpenShift Container Platform 和 Kubernetes 集群上执行持续评估。RHACS 为机构提供上下文信息,以便更有效地对环境中的漏洞进行优先级和操作。
应该由使用 RHACS 的机构漏洞管理流程监控的重要资产包括:
- 组件 :组件是可用作镜像一部分的软件包或节点上运行的软件包。组件是存在漏洞的最低级别。因此,组织必须升级、修改或删除软件组件才能修复漏洞。
- 镜像 :创建环境以运行代码的可执行部分的软件组件和代码的集合。镜像是您升级组件以修复漏洞的位置。
- 节点 :用于管理和运行使用 OpenShift 或 Kubernetes 应用程序的服务器,以及组成 OpenShift Container Platform 或 Kubernetes 服务的组件。
RHACS 将这些资产分组到以下结构中:
- 部署 :Kubernetes 中的应用程序的定义,它可能根据一个或多个镜像运行带有容器的 pod。
- 命名空间 :一组资源,如支持并隔离应用程序的 Deployment。
- 集群 :用于运行使用 OpenShift 或 Kubernetes 的应用的一组节点。
RHACS 扫描已知漏洞的资产,并使用通用漏洞披露(CVE)数据来评估已知漏洞的影响。
14.1.1.2. 对漏洞进行优先级排序
回答以下问题以优先选择您环境中的漏洞进行行动和调查:
- 对于您的组织而言,受影响的资产非常重要?
- 在调查漏洞时,需要如何严重?
- 漏洞是否可以由受影响软件组件的补丁修复?
- 存在的漏洞是否违反了任何机构的安全策略?
这些问题的回答可帮助安全性和开发团队确定他们是否希望对漏洞的暴露进行量化。
Red Hat Advanced Cluster Security for Kubernetes 为您提供了促进应用程序和组件中漏洞的优先级的方法。
14.1.1.3. 评估暴露信息
要评估您对漏洞的风险,请回答以下问题:
- 您的应用程序是否受到漏洞的影响?
- 漏洞是否被其他因素缓解?
- 是否存在可能导致利用此漏洞的已知威胁?
- 您正在使用软件包具有该漏洞?
- 是否将时间花费在特定漏洞上,并且软件包是否值得考虑?
根据您的评估执行以下操作:
- 如果您确定没有暴露,或者您的环境中没有应用漏洞,请考虑将漏洞标记为假的正状态。
- 如果您愿意修复、缓解或接受风险,请考虑是否希望修复、缓解或接受风险。
- 考虑是否要删除或更改软件包以减少您的攻击面。
14.1.1.4. 采取行动
决定对漏洞采取行动后,您可以执行以下操作之一:
- 修复漏洞
- 缓解并接受风险
- 接受风险
- 将漏洞标记为假正
您可以通过执行以下操作之一修复漏洞:
- 删除软件包
- 将软件包更新至一个非漏洞的版本
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}