红帽全球峰会第 15 章 管理漏洞
15.1. 漏洞管理概述
您的环境中的安全漏洞可能会被攻击者利用,例如执行拒绝服务攻击、执行远程代码或获得对敏感数据的未授权访问权限。因此,对漏洞的管理是成功实现 Kubernetes 安全计划的基础步骤。
15.1.1. 漏洞管理过程
漏洞管理是一个持续的过程,用于识别和修复漏洞。Red Hat Advanced Cluster Security for Kubernetes 可帮助您促进漏洞管理过程。
一个成功的漏洞管理程序通常包括以下关键任务:
- 执行资产评估
- 优先考虑漏洞
- 评估暴露
- 执行操作
- 持续重新评估资产
Red Hat Advanced Cluster Security for Kubernetes 可帮助机构对其 OpenShift Container Platform 和 Kubernetes 集群执行持续评估。它为组织提供了所需的上下文信息,以便更有效地对环境中的漏洞进行优先级和操作。
15.1.1.1. 执行资产评估
对机构资产进行评估涉及以下操作:
- 识别环境中的资产
- 扫描这些资产以识别已知漏洞
- 报告您环境中的漏洞,以受到影响的利益相关者
当您在 Kubernetes 或 OpenShift Container Platform 集群上安装 Red Hat Advanced Cluster Security for Kubernetes 时,它首先聚合了集群中运行的资产,以帮助您识别这些资产。RHACS 允许机构在其 OpenShift Container Platform 和 Kubernetes 集群上执行持续评估。RHACS 为机构提供了上下文信息,以便更有效地对环境中的漏洞进行优先级和操作。
应该使用 RHACS 通过机构漏洞管理流程监控的重要资产包括:
- 组件 :组件是可能用作镜像一部分的软件软件包,或者在节点上运行。组件是存在漏洞的最低级别。因此,组织必须以某种方式升级、修改或删除软件组件来修复漏洞。
- 镜像 :创建环境以运行代码的可执行部分的软件组件和代码的集合。镜像是升级组件以修复漏洞的位置。
- 节点 :一个服务器,用来使用 OpenShift 或 Kubernetes 以及组成 OpenShift Container Platform 或 Kubernetes 服务的组件管理和运行应用程序。
RHACS 将这些资产分组到以下结构中:
- 部署 :Kubernetes 中的应用的定义,可以根据一个或多个镜像运行带有容器的 pod。
- 命名空间 :对资源进行分组,如支持和隔离应用的 Deployment。
- 集群 :使用 OpenShift 或 Kubernetes 运行应用的一组节点。
RHACS 扫描已知漏洞的资产,并使用通用漏洞披露(CVE)数据来评估已知漏洞的影响。
15.1.1.2. 优先考虑漏洞
回答以下问题,以优先考虑您环境中的漏洞进行行动和调查:
- 对您组织的受影响资产有多重要?
- 要调查漏洞,需要如何严重程度?
- 此漏洞是否可以被受影响软件组件的补丁修复?
- 存在漏洞是否违反了您所在机构的安全策略?
这些问题的答案可帮助安全性和开发团队决定是否衡量漏洞的暴露情况。
Red Hat Advanced Cluster Security for Kubernetes 为您提供了促进应用程序和组件中漏洞的优先顺序。您可以使用 RHACS 报告的数据来决定哪些漏洞至关重要。例如,当查看 CVE 的漏洞发现时,您可能需要考虑 RHACS 提供的以下数据,并可用于对漏洞进行排序和优先排序:
- CVE 严重性 :RHACS 报告受 CVE 及其严重性评级(如低、中等、重要或严重)影响的镜像数量。
- 最高 CVSS:整个镜像中的 CVE 的最大通用漏洞评分系统(CVSS)分数,来自由红帽和供应商源收集的数据。
- top NVD CVSS:跨镜像此 CVE 的国家漏洞数据库中最高 CVSS 分数。您必须启用 Scanner V4 才能查看此数据。
- EPSS Probability:根据预期 预测系统(EPSS) 利用漏洞的可能性。此 EPSS 数据提供了在 30 天内利用此漏洞的可能性百分比。EPSS 收集观察从合作伙伴利用的活动的数据,并且利用活动并不意味着尝试成功利用。EPSS 分数应用作单个数据点,以及其他信息 (如 CVE 的年龄),以帮助您对漏洞进行优先排序。如需更多信息,请参阅 RHACS 和 EPSS。
15.1.1.3. 评估暴露
要评估您暴露的漏洞,请回答以下问题:
- 您的应用程序是否受到漏洞的影响?
- 漏洞是否被其他因素缓解?
- 是否存在可能会造成利用此漏洞的已知威胁?
- 您是否使用有漏洞的软件包?
- 是否在将时间花费在一个特定的漏洞上,且软件包是否如此?
根据您的评估执行以下操作:
- 如果您确定没有暴露的问题,或者漏洞不适用于您的环境,请考虑将漏洞标记为假的正状态。
- 如果公开的风险,请考虑进行修复、缓解或接受风险。
- 请考虑是否要删除或更改软件包,以减少您的攻击面。
15.1.1.4. 执行操作
当您决定对漏洞采取行动后,您可以执行以下操作之一:
- 修复漏洞
- 缓解并接受风险
- 接受风险
- 将漏洞标记为假的正状态
您可以通过执行以下操作之一修复漏洞:
- 删除软件包
- 将软件包更新至一个非漏洞的版本
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}