14.2. 常见漏洞管理任务
常见的漏洞管理任务包括识别和排列漏洞的优先级,修复漏洞,以及对新威胁进行监控。以下是您可以在 Vulnerability Management
14.2.1. 查找影响您基础架构的关键 CVE
使用 漏洞管理 视图来识别影响您的平台最多的 CVE。
流程
- 进入 RHACS 门户,从导航菜单中点 Vulnerability Management。
- 在 Vulnerability Management 视图标头中选择 CVE。
- 在 CVEs 视图中,选择 Env Impact 列标头,以根据环境影响降序排列 CVE。
14.2.2. 查找最易受攻击的镜像组件
使用 漏洞管理 视图来识别存在安全漏洞的镜像组件。
流程
- 进入 RHACS 门户,从导航菜单中点 Vulnerability Management。
-
在 Vulnerability Management 视图标头中选择 Application & Infrastructure
Components。 - 在 Components 视图中,选择 CVEs 列标题,根据 CVE 的数量按降序排列组件。
14.2.3. 识别引入漏洞的容器镜像层
使用 Vulnerability Management 视图来识别存在安全漏洞的组件及其出现在的镜像层。
流程
- 进入 RHACS 门户,从导航菜单中点 Vulnerability Management。
- 从 Top Riskiest Images 小部件中选择 镜像,或者点击 Dashboard 顶部的 Images 按钮并选择镜像。
- 在镜像详情视图中,选择 Dockerfile 旁边的展开图标来查看镜像组件摘要。
- 选择特定组件的展开图标,以获取有关影响所选组件的 CVE 的更多详细信息。
您还可以通过进入到 Vulnerability Management (2.0)
14.2.4. 识别镜像中引入 CVE 的组件的 Dockerfile 行
您可以在使用 CVE 引入组件的镜像中识别特定的 Dockerfile 行。
流程
查看有问题的行:
- 进入 RHACS 门户,从导航菜单中点 Vulnerability Management。
- 从 Top Riskiest Images 小部件中选择 镜像,或者点击 Dashboard 顶部的 Images 按钮并选择镜像。
- 在 Image Findings 中的 Image 详情视图中,CVE 列在 Observed CVEs, Deferred CVEs, 和 False positive CVEs 标签页中。
找到您要进一步检查的 CVE。在 Affected Components 列中,点 & lt;number> Components 链接来查看受 CVE 影响的组件列表。您可以在此窗口中执行以下操作:
- 单击特定组件旁边的展开图标,以查看引入 CVE 的镜像中 Dockerfile 行。要解决 CVE,您需要在 Dockerfile 中更改这一行;例如,您可以升级组件。
- 点组件的名称进入 组件概述页面,并查看组件的更多信息。
您还可以通过进入到 Vulnerability Management (2.0)
14.2.5. 仅查看可修复的 CVE 的详情
使用 漏洞管理 视图过滤和仅显示可修复的 CVE。
流程
In the {product-title-short} portal, go to *Vulnerability Management*.
. From the *Vulnerability Management* view header, select *Filter CVEs* -> *Fixable*.
14.2.6. 识别基础镜像的操作系统
使用 Vulnerability Management 视图来识别基础镜像的操作系统。
流程
- 进入 RHACS 门户,从导航菜单中点 Vulnerability Management。
- 在 Vulnerability Management 视图标头中选择 Images。
- 查看 Image OS 列下所有镜像的基础操作系统(OS)和 OS 版本。
-
选择一个镜像来查看其详情。基础操作系统也可以在 Image Summary
Details 和 Metadata 部分下提供。
Red Hat Advanced Cluster Security for Kubernetes 在以下情况下 将镜像操作系统 列为 未知 信息:
- 操作系统信息不可用,或者
- 如果使用的镜像扫描程序不提供此信息。
Docker Trusted Registry、Google Container Registry 和 Anchore 不提供此信息。
您还可以通过进入到 Vulnerability Management (2.0)
14.2.7. 识别最佳风险对象
使用 漏洞管理 视图来识别环境中的主要风险对象。Top Risky 小部件显示有关环境中顶级风险镜像、部署、集群和命名空间的信息。风险取决于漏洞的数量及其 CVSS 分数。
流程
- 进入 RHACS 门户,从导航菜单中点 Vulnerability Management。
选择 Top Risky widget 标头,以选择风险镜像、部署、集群和命名空间。
图表上的小圆圈代表所选对象(镜像、部署、集群、命名空间)。将鼠标悬停在圆圈上,以查看它们所代表的对象的概述。并选择圆圈来查看所选对象、相关实体以及它们之间的连接的详细信息。
例如,如果您要 查看由 CVE Count 和 CVSS 分数划分的顶级风险 Deployment,则图表中的每个圆圈代表一个部署。
- 将鼠标悬停在部署上时,您会看到部署概述,其中包括部署名称、集群和命名空间的名称、严重性、风险优先级、CVSS 和 CVE 计数(包括可修复)。
- 当您选择部署时,会为所选部署打开 Deployment 视图。Deployment 视图显示部署的深入详情,并包含有关该部署的策略违反情况、常见漏洞、CVE 和风险镜像的信息。
- 选择 View All on the widget 标头来查看所选类型的所有对象。例如,如果您 根据 CVE Count 和 CVSS 分数选择了 Top Risky Deployments,您可以选择 View All 来查看基础架构中所有部署的详细信息。
14.2.8. 识别镜像和组件的主要风险
与 Top Risky 类似,顶级风险 小部件列出了主要风险和组件的名称。此小部件还包括列出的镜像中的 CVE 总数和可修复的 CVE 的数量。
流程
- 进入 RHACS 门户,从导航菜单中点 Vulnerability Management。
选择 Top Riskiest Images 小部件标头,以选择风险的镜像和组件。如果您要查看 Top Riskiest 镜像 :
- 当您将鼠标悬停在列表中的镜像上时,您会看到镜像概述,其中包括镜像名称、扫描时间和 CVE 数量以及严重性(critical、高、中型和低)。
- 当您选择镜像时,会为所选镜像打开 Image 视图。Image 视图显示镜像的深入详情,包括 CVSS 分数、主要风险组件、可修复的 CVE 和镜像的 Dockerfile 的信息。
- 选择 View All on the widget 标头来查看所选类型的所有对象。例如,如果您选择了 Top Riskiest 组件,您可以选择 View All 来查看基础架构中所有组件的详细信息。
14.2.9. 查看镜像的 Dockerfile
使用 漏洞管理 视图查找镜像中漏洞的根本原因。您可以查看 Dockerfile,并准确查找 Dockerfile 中引入了漏洞以及与该单个命令关联的所有组件。
Dockerfile 部分显示以下信息:
- Dockerfile 中的所有层
- 每个层的说明及其值
- 每个层中包含的组件
- 每个层的组件中的 CVE 数量
当特定层引入的组件时,您可以选择展开图标来查看其组件的摘要。如果这些组件中存在 CVE,您可以选择单个组件的展开图标,以获取有关影响该组件的 CVE 的详情。
流程
- 在 RHACS 门户中,进入 漏洞管理。
- 从 Top Riskiest Images 小部件中选择 镜像,或者点击 Dashboard 顶部的 Images 按钮并选择镜像。
- 在镜像详情视图中,选择 Dockerfile 旁边的展开图标来查看指令、值、创建日期和组件的摘要。
- 选择单个组件的展开图标来查看更多信息。
您还可以通过进入到 Vulnerability Management (2.0)
14.2.10. 禁用识别节点中的漏洞
默认启用节点中的漏洞。您可以从 RHACS 门户禁用它。
流程
-
在 RHACS 门户中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 下,选择 StackRox Scanner。
- 从扫描程序列表中,选择 StackRox Scanner 来查看其详情。
- 从 Types 中删除 Node Scanner 选项。
- 选择 Save。
14.2.11. 扫描不活跃的镜像
Red Hat Advanced Cluster Security for Kubernetes (RHACS)每 4 小时扫描所有活跃的(部署)镜像,并更新镜像扫描结果以反映最新的漏洞定义。
您还可以将 RHACS 配置为自动扫描不活跃(未部署)镜像。
流程
- 在 RHACS 门户中,进入 Vulnerability Management (2.0)→ Workload CVEs (技术预览)。
- 点 <number> Images 显示镜像列表,并找到您要监视的镜像。
-
点溢出菜单
,然后选择 Watch image。然后,RHACS 会扫描镜像并显示错误或成功信息。
-
(可选) 要删除监视的镜像,请点溢出菜单
,然后选择 Unwatch image。
(可选)您可以在页面标头中点 Manage watched images 来查看所有被监视的镜像列表,并添加附加镜像。
重要在 RHACS 门户中,点 Platform Configuration
System Configuration 查看数据保留配置。 对于 System Configuration 页面中提到的天数,所有与从监视的镜像列表中删除的镜像相关的数据都会继续出现在 RHACS 门户中,仅在该周期过后删除。
- 点 Close 返回 Workload CVEs 页面。
14.2.12. 创建用于阻止特定 CVE 的策略
您可以从 Vulnerability Management 视图创建新策略,或将特定的 CVE 添加到现有策略中。
流程
- 从 Vulnerability Management 视图标头中点 CVE。
-
您可以选择一个或多个 CVE 的复选框,然后单击 Add selected CVE to Policy (
添加图标),或者将鼠标移到列表中的 CVE 上,然后选择 Add 图标。 对于策略名称 :
- 要将 CVE 添加到现有策略中,请从下拉列表中选择现有策略。
- 要创建新策略,请为新策略输入名称,然后选择 Create <policy_name>。
- 为 Severity 选择一个值,可以是 Critical、High、Medium 或 Low。
- 选择适用于策略的生命周期阶段,从 Build, 或 Deploy。您还可以选择这两个生命周期阶段。
- 在 Description 框中输入策略详情。
- 如果要创建策略,请关闭 Enable Policy 切换功能,但在以后启用它。默认情况下 Enable Policy 是开启的。
- 验证此策略中所含的 CVE。
- 单击 Save Policy。
14.2.13. 查看最近检测到的漏洞
Vulnerability Management 视图中的 Recently Detected Vulnerabilities 会根据扫描时间和 CVSS 分数显示当前在扫描镜像时发现的安全漏洞列表。它还包含有关受 CVE 影响的镜像数量及其对环境的影响(百分比)的信息。
- 当您将鼠标悬停在列表中的 CVE 上时,您会看到 CVE 的概述,其中包括扫描时间、CVSS 分数、描述、影响,以及是否使用 CVSS v2 还是 v3 分数。
- 当您选择 CVE 时,为所选 CVE 打开 CVE 详情视图。CVE 详情视图中显示 CVE 的深入详情,以及它出现的组件、镜像和部署。
- 在 Recently Detected Vulnerabilities widget 标头中选择 View All,以查看基础架构中所有 CVE 的列表。您还可以过滤 CVE 列表。
14.2.14. 查看最常见的漏洞
漏洞 管理视图中的最常见漏洞 小部件显示影响由 CVSS 分数安排的最大部署和镜像数量的漏洞列表。
- 当您将鼠标悬停在列表中的 CVE 上时,您会看到 CVE 概述,其中包括、扫描时间、CVSS 分数、描述、影响,以及是否使用 CVSS v2 还是 v3 评分。
- 当您选择 CVE 时,为所选 CVE 打开 CVE 详情视图。CVE 详情视图中显示 CVE 的深入详情,以及它出现的组件、镜像和部署。
-
选择 View All on the most Common Vulnerabilities widget 标头来查看您的基础架构中的所有 CVE 列表。您还可以过滤 CVE 列表。要将 CVE 导出为 CSV 文件,请选择 Export
Download CVES 作为 CSV。
14.2.15. 识别具有最严重策略违反情况的部署
在 Vulnerability Management 视图中 带有最严重的策略违反小部件的 Deployment 会显示影响该部署的部署和严重性的漏洞列表。
- 当将鼠标悬停在列表中的部署上时,您会看到部署概述,其中包括部署名称、集群的名称以及部署所在的命名空间,以及失败的策略数量及其严重性。
- 当您选择部署时,会为所选部署打开 Deployment 视图。Deployment 视图显示部署的深入详情,并包含有关该部署的策略违反情况、常见漏洞、CVE 和风险镜像的信息。
-
选择 View All on the most Common Vulnerabilities widget 标头来查看您的基础架构中的所有 CVE 列表。您还可以过滤 CVE 列表。要将 CVE 导出为 CSV 文件,请选择 Export
Download CVES 作为 CSV。
14.2.16. 使用大多数 Kubernetes 和 Istio 漏洞查找集群
使用 Vulnerability Management (1.0) 视图来识别环境中具有大多数 Kubernetes、Red Hat OpenShift 和 Istio 漏洞(已弃用)的集群。
具有最编配器和 Istio 漏洞 小部件的集群显示集群列表,按 Kubernetes、Red Hat OpenShift 和 Istio 漏洞(已弃用)的数量排名。列表顶部的集群是具有最高漏洞的集群。
流程
点列表中的一个集群查看集群的详情。Cluster 视图包括:
- Cluster Summary 部分,显示集群详情和元数据、顶级风险对象(部署、命名空间和镜像)、最近检测到的漏洞、风险镜像以及具有最严重策略违反情况的部署。
- Cluster Findings 部分,其中包括失败策略列表以及可修复的 CVE 列表。
- 相关的实体 部分,其中显示了集群包含的命名空间、部署、策略、镜像、组件和 CVE 的数量。您可以选择这些实体来查看更多详细信息。
- 点小部件标头中的 View All,以查看所有集群的列表。
14.2.17. 识别节点中的漏洞
您可以使用 Vulnerability Management 视图来识别节点中的漏洞。识别的漏洞包括:
- Kubernetes 核心组件。
容器运行时(Docker、CRI-O、runC 和 containerd)。
注意Red Hat Advanced Cluster Security for Kubernetes 可以识别以下操作系统中的漏洞:
- Amazon Linux 2
- CentOS
- Debian
- Garden Linux (Debian 11)
- Red Hat Enterprise Linux CoreOS (RHCOS)
- Red Hat Enterprise Linux (RHEL)
- Ubuntu (AWS、Microsoft Azure、GCP 和 GKE 特定版本)
流程
-
在 RHACS 门户中,进入 Vulnerability Management
Dashboard。 - 在 Dashboard 视图标头中选择 Nodes 来查看影响节点的所有 CVE 列表。
从列表中选择节点,以查看影响该节点的所有 CVE 的详细信息。
- 当您选择节点时,为所选节点打开 Node details 面板。Node 视图显示节点的深入详情,并包含由 CVSS 分数以及该节点可修复的 CVE 的信息。
- 选择 View All on the CVE by CVSS score widget 标头来查看所选节点上所有 CVE 的列表。您还可以过滤 CVE 列表。
- 要将可修复的 CVE 导出为 CSV 文件,请在 Node Findings 部分选择 Export as CSV。
