红帽全球峰会3.2. Central
红帽管理 Central,RHACS 云服务的 control plane。这些服务包括以下组件:
- Central : Central 是 RHACS 应用程序管理界面和服务。它处理 API 交互和用户界面 (RHACS Portal) 访问。您可以使用同一中实例来保护多个 OpenShift Container Platform 或 Kubernetes 集群。
- Central DB : Central DB 是 RHACS 的数据库,并处理所有数据持久性。它目前基于 PostgreSQL 13。
扫描程序 V4 :从版本 4.4 开始,RHACS 包含 Scanner V4 漏洞扫描程序,用于扫描容器镜像。扫描程序 V4 基于 Claircore 构建,它还为 Clair 扫描程序提供支持。扫描程序 V4 支持语言和特定于操作系统的镜像组件、节点和平台扫描。扫描程序 V4 包含索引器、匹配器和 DB 组件。
- 扫描程序 V4 Indexer : Scanner V4 Indexer 执行镜像索引,以前称为镜像分析。根据镜像和 registry 凭证,索引器从 registry 拉取镜像,找到基础操作系统(如果存在),并查找软件包。然后,索引器会存储和输出一个索引报告,其中包含给定镜像的发现。
- 扫描程序 V4 Matcher :Scanner V4 Matcher 执行漏洞匹配。如果在 Central 索引中安装的 Indexer,则 Matcher 从索引器获取索引报告,并将报告与 Scanner V4 数据库中存储的漏洞匹配。如果安装在安全集群中安装的 Indexer 执行索引,则 Matcher 将使用从该索引程序发送的索引报告,然后与漏洞匹配。Matcher 还获取漏洞数据,并使用最新的漏洞数据更新 Scanner V4 数据库。Scanner V4 Matcher 输出漏洞报告,其中包含镜像的最终结果。
- 扫描程序 V4 DB :此数据库存储 Scanner V4 的信息,包括所有漏洞数据和索引报告。在安装 Central 的集群上,Scanner V4 DB 需要持久性卷声明(PVC)。
- stackrox Scanner: StackRox Scanner 源自 Clair v2 开源扫描程序的分叉,是 Scanner V4 之前 RHACS 的默认扫描程序。
- scanner-DB :此数据库包含 StackRox Scanner 的数据。
RHACS 扫描程序分析每个镜像层,以确定基础操作系统,并确定操作系统软件包管理器安装的编程语言软件包和软件包。它与来自各种漏洞源的已知漏洞匹配。另外,它会识别节点的操作系统和平台中的漏洞。
3.2.1. 漏洞数据源
漏洞的来源取决于系统中使用的扫描程序。RHACS 包含两个扫描程序: StackRox Scanner 和 Scanner V4。stackrox Scanner 是默认的扫描程序,已弃用,从版本 4.6 开始。扫描程序 V4 在版本 4.4 中引入,是推荐的镜像扫描程序。
3.2.1.1. 扫描程序 V4 源
扫描程序 V4 使用以下漏洞源:
- Red Hat VEX
与版本 4.6 及之后的版本一起使用。此源以 漏洞利用性 eXchange (VEX)格式提供漏洞数据。RHACS 利用 VEX 优势来显著减少初始加载漏洞数据所需的时间,以及存储漏洞数据所需的空间。
当使用 OVAL 版本(如 RHACS 版本 4.5)和使用 VEX 版本(如版本 4.6)的 RHACS 版本扫描时,RHACS 可能会列出不同的漏洞数。例如,当这些漏洞包含在之前使用 OVAL 数据的版本中,RHACS 不再显示状态为 "under investigation" 的漏洞。
有关红帽安全数据的更多信息,包括关于使用 OVAL、通用安全公告框架 2.0 (CSAF)和 VEX 的信息,请参阅 红帽安全数据的未来。
- OSV
这用于与语言相关的漏洞,如 Go、Java、Java、Java、Python 和 Ruby。此源可能会提供 CVE ID 以外的漏洞 ID,如 GitHub 安全公告(GHSA) ID。
注意RHACS 使用 Apache License 2.0 下的 OSV 数据库,位于 OSV.dev 中。
- NVD
这用于各种目的,如在供应商不提供信息时填补信息差距。例如,Alpine 不提供描述、CVSS 分数、严重性或发布日期。
注意此产品使用 NVD API,但不由 NVD 结束或认证。
- 其他漏洞源
- Alpine 安全数据库
- Amazon Linux Security Center中跟踪的数据
- Debian 安全跟踪器
- Oracle OVAL
- Photon OVAL
- SUSE OVAL
- Ubuntu OVAL
- stackrox : 上游 StackRox 项目维护一组可能因为其他源的数据格式或数据没有发现的漏洞。
- 扫描程序 V4 Indexer 源
扫描程序 V4 索引器使用以下文件来索引红帽容器:
- repository-to-cpe.json: 将 RPM 存储库映射到其相关的 CPEs,这是匹配基于 RHEL 的镜像的漏洞所必需的。
- container-name-repos-map.json :这会将容器名称与对应的存储库匹配。
3.2.1.2. stackrox Scanner 源
stackrox Scanner 使用以下漏洞源:
- Red Hat OVAL v2
- Alpine 安全数据库
- Amazon Linux Security Center中跟踪的数据
- Debian 安全跟踪器
- Ubuntu CVE 跟踪器
NVD :这用于各种目的,如在供应商不提供信息时填补信息差距。例如,Alpine 不提供描述、CVSS 分数、严重性或发布日期。
注意此产品使用 NVD API,但不由 NVD 结束或认证。
- Linux manual entries 和 NVD manual 条目 :上游 StackRox 项目维护一组可能因为其他源或没有数据的数据格式而发现的漏洞。
- repository-to-cpe.json: 将 RPM 存储库映射到其相关的 CPEs,这是匹配基于 RHEL 的镜像的漏洞所必需的。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}