10.2. 一般的なタスク:
このセクションでは、Vulnerability Management → Dashboard ビューから実行できる共通タスクを紹介します。
10.2.1. インフラストラクチャーに影響する重大な CVE の検索
Vulnerability Management ビューを使用して、プラットフォームに最適な CVE を特定します。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
- Vulnerability Management ビューヘッダーで CVE を選択します。
- CVE ビューで、Env Impact 列ヘッダーを選択し、環境の影響に基づいて CVE を降順 (最も高いもの) に配置します。
10.2.2. 最も脆弱なイメージコンポーネントの検索
Vulnerability Management ビューを使用して、脆弱なイメージコンポーネントを特定します。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
- Vulnerability Management ビューヘッダーから、Application & Infrastructure → Components の順に選択します。
- Components ビューで CVEs 列ヘッダーを選択し、CVE 数に基づいてコンポーネントを降順 (一番大きいもの) に配置します。
10.2.3. 脆弱性のあるコンテナーイメージ層の特定
Vulnerability Management ビューを使用して、脆弱なコンポーネントと、そのコンポーネントが表示されるイメージ層を特定します。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
- Top Riskiest Images ウィジェットからイメージを選択します。
- Image の詳細ビューで、Image Findings セクションの下にある Dockerfile タブを選択します。
- Image Findings セクションの Dockerfile タブで、展開アイコンを選択して、イメージコンポーネントの概要を表示します。
- 特定のコンポーネントの展開アイコンを選択して、選択したコンポーネントに影響する CVE の詳細を取得します。
10.2.4. 修正可能な CVE のみの詳細表示
Vulnerability Management ビューを使用して、修正可能な CVE をフィルターリングして表示します。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
- Vulnerability Management ビューヘッダーから、Filter CVEs → Fixable の順に選択します。
10.2.5. ベースイメージのオペレーティングシステムの特定
Vulnerability Management ビューを使用して、ベースイメージのオペレーティングシステムを特定します。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
- Vulnerability Management ビューヘッダーから Images を選択します。
- Image OS 列の下に、すべてのイメージのベースオペレーティングシステム (OS) および OS バージョンを表示します。
- イメージを選択して、その詳細を表示します。ベースオペレーティングシステムは、Image Summary → Details and Metadata セクションでも利用できます。
Red Hat Advanced Cluster Security for Kubernetes は、以下のいずれかの場合に、Image OS を unknown として一覧表示します。
- オペレーティングシステム情報が利用できない場合、または
- 使用中のイメージスキャナーでこの情報が提供されない場合。
Docker Trusted Registry、Google Container Registry、および Anchore では、この情報を提供されません。
10.2.6. リスクの高いオブジェクトの特定
Vulnerability Management ビューを使用して、環境内の主要なリスクオブジェクトを特定します。Top Risky ウィジェットは、環境内のトップリスクのイメージ、デプロイメント、クラスター、および namespace に関する情報を表示します。このリスクは、脆弱性の数と CVSS スコアに基づいて決定されます。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
Top Risky ウィジェットヘッダーを選択して、リスクイメージ、デプロイメント、クラスター、および namespace の中から選択します。
グラフの小さな円は、選択したオブジェクト (イメージ、デプロイメント、クラスター、namespace) を表します。円にマウスをかざし、その円が表すオブジェクトの概要を確認します。円を選択して、選択したオブジェクト、その関連エンティティー、およびエンティティー間の接続に関する詳細情報を表示します。
たとえば、Top Risky Deployments by CVE Count and CVSS score を表示する場合には、グラフの各円はデプロイメントを表します。
- デプロイメントにカーソルを合わせると、デプロイメントの概要が表示されます。これには、デプロイメント名、クラスターと namespace の名前、重大度、リスクの優先度、CVSS、および CVE カウント (修正可能を含む) が含まれます。
- デプロイメントを選択すると、選択したデプロイメントの Deployment ビューが開きます。Deployment ビューには、デプロイメントの詳細情報が表示され、そのデプロイメントのポリシー違反、共通脆弱性、CVE、およびリスクイメージに関する情報が含まれます。
- ウィジェットヘッダーで View All を選択して、選択したタイプのオブジェクトをすべて表示します。たとえば、Top Risky Deployments by CVE Count and CVSS score を選択した場合には、View All を選択して、インフラストラクチャー内のすべてのデプロイメントに関する詳細情報を表示できます。
10.2.7. 最もリスクの高いイメージとコンポーネントの特定
Top Risky と同様に、Top Riskiest ウィジェットには、最もリスクの高いイメージとコンポーネントの名前が一覧表示されます。このウィジェットには、リストされたイメージ内の CVE の総数と修正可能な CVE の数も含まれています。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
Top Riskiest Images ウィジェットヘッダーを選択して、リスクイメージとコンポーネントを選択します。Top Riskiest Images を表示する場合は、以下を実行します。
- リスト内のイメージにカーソルを合わせると、イメージの概要が表示されます。これには、イメージ名、スキャン時間、CVE の数、重大度 (クリティカル、高、中、低) が含まれます。
- イメージを選択すると、選択したイメージの Image ビューが開きます。Image ビューには、イメージの詳細が表示され、CVSS スコア別の CVE、最もリスクの高いコンポーネント、修正可能な CVE、およびイメージの Dockerfile に関する情報が含まれます。
- ウィジェットヘッダーで View All を選択して、選択したタイプのオブジェクトをすべて表示します。たとえば、Top Riskiest Components を選択した場合は、View All を選んでインフラストラクチャー内のすべてのコンポーネントに関する詳細情報を表示できます。
10.2.8. イメージの Dockerfile の表示
Vulnerability Management ビューを使用して、イメージの脆弱性の根本的な原因を検索します。Dockerfile を表示して、Dockerfile 内のどのコマンドが脆弱性を導入したか、およびその単一のコマンドに関連付けられているすべてのコンポーネントを正確に見つけることができます。
Dockerfile タブには、以下の情報が表示されます。
- Dockerfile のすべてのレイヤー
- 各レイヤーの命令とその値
- 各レイヤーに含まれるコンポーネント
- 各レイヤーのコンポーネントの CVE 数
特定のレイヤーで導入されたコンポーネントがある場合は、展開アイコンを選択してコンポーネントの概要を表示できます。これらのコンポーネントに CVE がある場合は、個別のコンポーネントの展開アイコンを選択して、そのコンポーネントに影響を与える CVE の詳細を取得できます。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Vulnerability Management をクリックします。
- Top Riskiest Images ウィジェットからイメージを選択します。
- Image の詳細ビューで、Image Findings セクションの下にある Dockerfile タブを選択します。
10.2.9. ノードの脆弱性の識別の無効化
ノードの脆弱性の識別は、デフォルトで有効にされています。RHACS ポータルから無効にできます。
手順
- RHACS ポータルで、Platform Configuration → Integrations に移動します。
- Image Integrations セクションで StackRox Scanner を選択します。
- スキャナーの一覧から StackRox スキャナーを選択して詳細を表示します。
- Types から Node Scanner オプションを削除します。
- Save を選択します。
10.2.10. アクティブではないイメージのスキャン
Red Hat Advanced Cluster Security for Kubernetes は、4 時間ごとにアクティブな (デプロイされた) イメージをすべてスキャンし、イメージスキャンの結果を更新して最新の脆弱性定義を反映します。
また、Red Hat Advanced Cluster Security for Kubernetes を設定して、アクティブではない (デプロイされていない) イメージを自動的にスキャンすることもできます。
手順
- Vulnerability Management ビューヘッダーで Images を選択し、すべてのイメージの一覧を表示します。
- Images ビューヘッダーで、Watch Images を選択します。
-
Manage Inactive Images ダイアログで、有効化する (イメージ
IDではなく) アクティブではないイメージの名前を入力します。 - Add Image を選択します。次に、Red Hat Advanced Cluster Security for Kubernetes はイメージをスキャンし、エラーまたは成功のメッセージが表示されます。
- Return to Image list を選択して、Images ビューを表示します。
10.2.11. 特定の CVE をブロックするポリシーの作成
Vulnerability Management ビューから、新しいポリシーを作成したり、既存のポリシーに特定の CVE を追加したりすることができます。
手順
- Vulnerability Management ビューヘッダーから CVE をクリックします。
-
1 つ以上の CVE のチェックボックスを選択し、Add selected CVEs to Policy (
addアイコン) をクリックします。または、リストの CVE にマウスを移動して、右側の Add アイコンを選択します。 Policy Name の場合:
- 既存のポリシーに CVE を追加するには、ドロップダウンリストから既存のポリシーを選択します。
- 新規ポリシーを作成するには、新規ポリシーの名前を入力し、Create <policy_name> を選択します。
- Severity の値を選択します (Critical、High、Medium、または Low のいずれか)。
- ポリシーを適用する Lifecycle Stage を、Build または Deploy から選択します。また、ライフサイクルステージの両方を選択することもできます。
- Description ボックスに、ポリシーの詳細を入力します。
- ポリシーを作成して後で有効にする場合は、Enable Policy トグルをオフにします。Enable Policy トグルはデフォルトでオンになっています。
- このポリシーに含まれる CVE を確認してください。
- Save Policy をクリックします。
10.2.12. 最近検出された脆弱性の表示
Vulnerability Management ビューの Recently Detected Vulnerabilities ウィジェットには、スキャン時間と CVSS スコアに基づいて、スキャンイメージで最近検出された脆弱性の一覧が表示されます。また、CVE の影響を受けるイメージの数と、お使いの環境への影響 (パーセンテージ) に関する情報も含まれます。
- リスト内の CVE にカーソルを合わせると、CVE の概要が表示されます。これには、スキャン時間、CVSS スコア、説明、影響、および CVSSv2 と v3 のどちらを使用してスコアリングされたかが含まれます。
- CVE を選択すると、選択した CVE の詳細ビューが開きます。CVE の詳細ビューには、表示される CVE およびコンポーネント、イメージ、デプロイメントおよびデプロイメントの詳細が表示されます。
- Recently Detected Vulnerabilities ウィジェットヘッダーで View All を選択し、インフラストラクチャー内のすべての CVE の一覧を表示します。CVE の一覧をフィルターリングすることもできます。
10.2.13. 最も一般的な脆弱性の表示
Vulnerability Management ビューの Mosty Common Vulnerabilities ウィジェットには、CVSS スコアで配置されたデプロイメントやイメージの最大数に影響を与える脆弱性の一覧が表示されます。
- リスト内の CVE にカーソルを合わせると、CVE の概要が表示されます。これには、スキャン時間、CVSS スコア、説明、影響、および CVSSv2 と v3 のどちらを使用してスコアリングされたかが含まれます。
- CVE を選択すると、選択した CVE の詳細ビューが開きます。CVE の詳細ビューには、表示される CVE およびコンポーネント、イメージ、デプロイメントおよびデプロイメントの詳細が表示されます。
- Most Common Vulnerabilities ウィジェットヘッダーで View All を選択し、インフラストラクチャー内のすべての CVE の一覧を表示します。CVE の一覧をフィルターリングすることもできます。CVE を CSV ファイルとしてエクスポートするには、Export → Download CVES as CSV の順に選択します。
10.2.14. 最も深刻なポリシー違反があるデプロイメントの特定
Vulnerability Management ビューのDeployments with most severe policy violations ウィジェットには、デプロイメントに影響する脆弱性の重大度の一覧が表示されます。
- 一覧のデプロイメントにカーソルを合わせると、デプロイメントの概要が表示されます。これには、デプロイメント名、クラスターの名前、デプロイメントが存在する namespace、失敗したポリシーとその重大度の数が含まれます。
- デプロイメントを選択すると、選択したデプロイメントの Deployment ビューが開きます。Deployment ビューには、デプロイメントの詳細情報が表示され、そのデプロイメントのポリシー違反、共通脆弱性、CVE、およびリスクイメージに関する情報が含まれます。
- Most Common Vulnerabilities ウィジェットヘッダーで View All を選択し、インフラストラクチャー内のすべての CVE の一覧を表示します。CVE の一覧をフィルターリングすることもできます。CVE を CSV ファイルとしてエクスポートするには、Export → Download CVES as CSV の順に選択します。
10.2.15. Kubernetes および Istio の脆弱性の多くのクラスターの検索
Vulnerability Management ビューを使用して、環境内の Kubernetes および Istio の脆弱性の多くのクラスターを特定します。
Clusters with most K8S & Istio Vulnerabilities ウィジェットには、各クラスターの Kubernetes と Istio の脆弱性の数でランク付けされたクラスターのリストが表示されます。リストの一番上にあるクラスターは、脆弱性の数が最も多いクラスターです。
手順
一覧からクラスターの 1 つをクリックして、クラスターの詳細を表示します。Cluster ビューには以下が含まれます。
- Cluster Details セクションには、クラスターの詳細とメタデータ、最もリスクの高いオブジェクト (デプロイメント、名前空間、およびイメージ)、最近検出された脆弱性、最もリスクの高いイメージ、および最も重大なポリシー違反のあるデプロイメントが表示されます。
- Cluster Findings セクション。これには、失敗したポリシーの一覧および修正可能な CVE の一覧が含まれます。
- Related Entities セクション。クラスターに含まれる namespace、デプロイメント、ポリシー、イメージ、コンポーネント、CVE の数が表示されます。これらのエンティティーを選択して、詳細情報を表示できます。
- ウィジェットヘッダーの View All をクリックして、すべてのクラスターの一覧を表示します。
10.2.16. ノードの脆弱性の特定
Vulnerability Management ビューを使用して、ノードの脆弱性を特定できます。特定された脆弱性には、以下のような脆弱性が含まれます。
- コア Kubernetes コンポーネント。
コンテナーランタイム (Docker、CRI-O、runC、および containerd)。
注記- Red Hat Advanced Cluster Security for Kubernetes では、OpenShift Container Platform のノードの脆弱性の特定機能はサポートされません。
Red Hat Advanced Cluster Security for Kubernetes は以下のオペレーティングシステムの脆弱性を特定できます。
- Amazon Linux 2
- CentOS
- Debian
- Garden Linux (Debian 11)
- Red Hat Enterprise Linux (RHEL)
- Ubuntu(AWS、Azure、GCP、および GKE 固有のバージョン)
手順
- Vulnerability Management ビューヘッダーで Nodes を選択し、ノードに影響するすべての CVE の一覧を表示します。
一覧からノードを選択し、そのノードに影響するすべての CVE の詳細を表示します。
- ノードを選択すると、選択したノードの Node の詳細パネルが開きます。Node ビューには、ノードの詳細が表示され、CVSS スコア別の CVE およびそのノードの修正可能な CVE に関する情報が含まれます。
- 選択したノードのすべての CVE のリストを表示するには、CVEs by CVSS score で、View All を選択します。CVE の一覧をフィルターリングすることもできます。
- 修正可能な CVE を CSV ファイルとしてエクスポートするには、Node Findings セクションで Export as CSV を選択します。
