10.2. 常见任务
本节列出了您可以在 Vulnerability Management → Dashboard 视图中执行的一些常见任务。
10.2.1. 查找影响您基础架构的关键 CVE
使用 漏洞管理 视图来识别影响您最强平台的 CVE。
流程
- 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management。
- 选择 Vulnerability Management view 标头上的 CVE。
- 在 CVEs 视图中,选择 Env Impact 列标题,以根据环境影响来按降序排列 CVE(最高名)。
10.2.2. 查找最易受攻击的镜像组件
使用 漏洞管理视图 来识别存在安全漏洞的镜像组件。
流程
- 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management。
- 在 Vulnerability Management 视图标头中选择 Application & Infrastructure → Components。
- 在 组件 视图中,选择 CVEs 列标题,以根据 CVE 计数以降序排列组件(最高名)。
10.2.3. 识别引入漏洞的容器镜像层
使用 漏洞管理 视图识别存在安全漏洞的组件及其出现在镜像层。
流程
- 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management。
- 从 Top Riskies Images 小部件中选择镜像。
- 在 Image details 视图中,选择 Image Findings 部分下的 Dockerfile 选项卡。
- 在 Image Findings 部分下的 Dockerfile 选项卡中,选择展开图标来查看镜像组件的摘要。
- 选择特定组件的扩展图标,以获取有关影响所选组件的 CVE 的更多详细信息。
10.2.4. 仅查看可修复的 CVE 的详情
使用 漏洞管理 视图过滤和仅显示可修复的 CVE。
流程
- 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management。
- 在 Vulnerability Management 视图标头中选择 Filter CVEs → Fixable。
10.2.5. 识别基础镜像的操作系统
使用 漏洞管理 视图确定基础镜像的操作系统。
流程
- 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management。
- 从 Vulnerability Management 视图标头中选择 Images。
- 查看 Image OS 列下所有镜像的基础操作系统(OS)和 OS 版本。
- 选择一个镜像来查看其详情。基础操作系统也位于 Image Summary → Details 和 Metadata 部分。
在 Red Hat Advanced Cluster Security for Kubernetes 时,Red Hat Advanced Cluster Security for Kubernetes 将镜像 OS 列为 unknown :
- 操作系统信息不可用,或者
- 如果使用的镜像扫描程序没有提供此信息。
Docker Trusted Registry、Google Container Registry 和 Anchore 不提供此信息。
10.2.6. 识别主要风险对象
使用 漏洞管理 视图确定您环境中的最大风险对象。Top Risky widget 显示有关环境中顶级风险镜像、部署、集群和命名空间的信息。风险根据漏洞的数量及其 CVSS 分数来决定。
流程
- 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management。
选择 Top Risky widget 标头以选择风险性镜像、部署、集群和命名空间。
chart 上的小圆形表示所选对象(镜像、部署、集群、命名空间)。将鼠标悬停在圆括号上,以查看它们所代表对象的概览。然后选择一个圆形来查看有关所选对象、相关实体以及它们之间的连接的详细信息。
例如,如果您通过 CVE Count 和 CVSS 分数查看最佳风险部署,则图表上的每个圆形都代表部署。
- 当您将鼠标悬停在部署上时,您会看到部署概述,其中包括部署名称、集群和命名空间名称、严重性、风险优先级、CVSS 和 CVE 计数(包括可修复)。
- 当您选择一个部署时,会为所选部署打开 Deployment 视图。Deployment 视图中显示部署的深入了解,包括有关该部署的策略违反情况、常见漏洞、CVE 和风险镜像的信息。
- 选择 View All on the widget 标头来查看所选类型的所有对象。例如,如果您 根据 CVE Count 和 CVSS 分数选择顶级风险 部署,您可以选择 View All 查看基础架构中所有部署的详细信息。
10.2.7. 识别镜像和组件的主要风险
与 top Risky 类似,Top Riskiest 列出了主要风险的镜像和组件的名称。此小部件还包括列表镜像中可修复的 CVE 总数和可修复的 CVE 数量。
流程
- 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management。
选择 Top Riskiest Images 小部件标题,以在不同的风险和组件之间进行选择。如果您看到 最大的风险镜像 :
- 当您将鼠标悬停在列表中的镜像上时,您会看到镜像概述,其中包括镜像名称、扫描时间以及 CVE 的数量(关键、高、中度和低)。
- 当您选择镜像时,为所选镜像打开 Image 视图。Image 视图显示镜像的深度详情,包括 CVSS 分数、最高风险组件、可修复的 CVE 和 Dockerfile 的信息。
- 选择 View All on the widget 标头来查看所选类型的所有对象。例如,如果您选择 顶级风险组件,可以选择 View All 来查看基础架构中所有组件的详细信息。
10.2.8. 查看镜像的 Dockerfile
使用 漏洞管理 视图查找镜像中漏洞的根本原因。您可以查看 Dockerfile 并查找 Dockerfile 中的哪个命令引入了漏洞以及与该单一命令关联的所有组件。
Dockerfile 标签显示以下信息:
- Dockerfile 中的所有层
- 每个层的 instructions 及其值
- 每个层中包含的组件
- 每个层的组件中的 CVE 数量
当有特定层引入的组件时,您可以选择展开图标来查看其组件的摘要。如果这些组件中存在任何 CVE,您可以选择单个组件的扩展图标,以获取有关影响该组件的 CVE 的更多详细信息。
流程
- 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management。
- 从 Top Riskies Images 小部件中选择镜像。
- 在 Image details 视图中,选择 Image Findings 部分下的 Dockerfile 选项卡。
10.2.9. 禁用节点中的识别漏洞
识别节点中的漏洞会被默认启用。您可以从 RHACS 门户禁用它。
流程
- 在 RHACS 门户网站中,进入 Platform Configuration → Integrations。
- 在 Image Integrations 下,选择 StackRox Scanner。
- 从扫描程序列表中,选择 StackRox Scanner 来查看其详细信息。
- 从类型中删除 Node Scanner 选项。
- 选择 Save。
10.2.10. 扫描不活跃镜像
Red Hat Advanced Cluster Security for Kubernetes 每 4 小时扫描所有活跃的(部署)镜像,并更新镜像扫描结果以反映最新的漏洞定义。
您还可以将 Red Hat Advanced Cluster Security for Kubernetes 配置为自动扫描不活跃(未部署)镜像。
流程
- 选择 Vulnerability Management 视图标头上的 Images 来查看所有镜像的列表。
- 在 Images 视图中,选择 Watch Images。
-
在 Manage Inactive Images 对话框中,输入您要启用扫描的非活动
镜像的名称
(而不是镜像 ID)。 - 选择 Add Image。Red Hat Advanced Cluster Security for Kubernetes 然后扫描镜像,并显示错误或成功信息。
- 选择 return to Image 列表 来查看 Images 视图。
10.2.11. 创建阻止特定 CVE 的策略
您可以从 漏洞管理 视图创建新策略,或将特定的 CVE 添加到现有策略中。
流程
- 从 Vulnerability Management 视图标头中点 CVE。
-
为一个或多个 CVE 选择复选框(左高列),然后单击 Add selected CVE to Policy (
添加
图标)。或者,将鼠标移到列表中的 CVE 上,然后选择右侧的 Add 图标。 对于 Policy Name :
- 要将 CVE 添加到现有策略,请从下拉列表中选择现有策略。
- 要创建新策略,请输入新策略的名称,然后选择 Create <policy_name>。
- 为 Severity 选择一个值,可以是 Critical、High、Medium 或 Low。
- 从 Build 或 Deploy 中选择您的策略适用的 Lifecycle Stage。您还可以选择两个生命周期阶段。
- 在 Description 框中输入策略详情。
- 如果要创建策略但在以后启用它,请关闭 Enable Policy 切换。Enable Policy 切换默认是 on。
- 验证此策略中包含的列出 CVE。
- 点 Save Policy。
10.2.12. 查看最近检测到的漏洞
漏洞管理 视图中的 Recently Detected vulnerabilities widget 显示您扫描镜像中最近发现的漏洞列表,具体取决于扫描时间和 CVSS 分数。它还包含有关受 CVE 影响的镜像数及其影响(百分比)的信息。
- 当您将某个 CVE 悬停在列表上的 CVE 中时,您会看到 CVE 的概述,其中包括扫描时间、CVSS 得分、描述、影响以及是否使用 CVSS v2 或 v3 评分。
- 当您选择 CVE 时,为所选 CVE 打开 CVE 详情视图。CVE 详情视图显示 CVE 的深度信息,以及它所出现的组件、镜像和部署。
- 选择 View All on the Recently Detected Vulnerabilities widget 标头来查看您基础架构中所有 CVE 的列表。您还可以过滤 CVE 列表。
10.2.13. 查看最常见的漏洞
漏洞管理视图 中的大多数 常见漏洞 小部件显示,它们会影响最大数量的部署和镜像,按其 CVSS 分数排列。
- 当您将某个 CVE 悬停在列表中的 CVE 中时,您会看到 CVE 概述,其中包括、扫描时间、CVSS 得分、描述、影响以及是否使用 CVSS v2 或 v3 评分。
- 当您选择 CVE 时,为所选 CVE 打开 CVE 详情视图。CVE 详情视图显示 CVE 的深度信息,以及它所出现的组件、镜像和部署。
- 选择 View All on Most Common Vulnerabilities widget 标头来查看您基础架构中所有 CVE 的列表。您还可以过滤 CVE 列表。要将 CVE 导出为 CSV 文件,请选择 Export → Download CVES 作为 CSV。
10.2.14. 识别带有最严重策略违反的部署
漏洞管理 视图中 具有最严重的策略违反小部件的 Deployment 显示了影响该部署的漏洞的部署和严重性列表。
- 当您将鼠标悬停在列表中的部署上时,您会看到部署概述,其中包括部署名称、集群的名称以及部署所在的命名空间,以及失败策略的数量及其严重性。
- 当您选择一个部署时,会为所选部署打开 Deployment 视图。Deployment 视图中显示部署的深入了解,包括有关该部署的策略违反情况、常见漏洞、CVE 和风险镜像的信息。
- 选择 View All on Most Common Vulnerabilities widget 标头来查看您基础架构中所有 CVE 的列表。您还可以过滤 CVE 列表。要将 CVE 导出为 CSV 文件,请选择 Export → Download CVES 作为 CSV。
10.2.15. 使用大多数 Kubernetes 和 Istio 漏洞查找集群
使用 漏洞管理 视图,在您的环境中识别带有最多 Kubernetes 和 Istio 漏洞的集群。
带有大多数 K8S 和 Istio 漏洞 的集群会显示一个集群列表,由每个集群的 Kubernetes 和 Istio 漏洞数量列入。列表顶部的集群是具有最多漏洞的集群。
流程
从列表中选择一个集群来查看集群的详情。Cluster 视图包括:
- Cluster Details 部分,显示集群详情和元数据、主要风险对象(部署、命名空间和镜像)、最近检测到的漏洞、风险镜像以及带有最严重的策略违反的部署。
- Cluster Findings 部分,其中包括失败策略列表以及可修复的 CVE 列表。
- 相关实体 部分,显示集群包含的命名空间、部署、策略、镜像、组件和 CVE 的数量。您可以选择这些实体来查看更多详情。
- 点 widget 标头上的 View All 来查看所有集群的列表。
10.2.16. 识别节点中的漏洞
您可以使用 漏洞管理视图 来识别节点中的漏洞。识别的漏洞包括以下漏洞:
- Kubernetes 核心组件。
容器运行时(Docker、CRI-O、runC 和 containerd)。
注意- Red Hat Advanced Cluster Security for Kubernetes 不支持识别 OpenShift Container Platform 中的节点中的漏洞。
Red Hat Advanced Cluster Security for Kubernetes 可以识别以下操作系统中的漏洞:
- Amazon Linux 2
- CentOS
- Debian
- Garden Linux(Debian 11)
- Red Hat Enterprise Linux(RHEL)
- Ubuntu(AWS、Azure、GCP 和 GKE 特定版本)
流程
- 选择 Vulnerability Management 视图标头上的 Nodes,以查看影响节点的所有 CVE 列表。
从列表中选择一个节点,以查看影响该节点的所有 CVE 的详情。
- 当您选择节点时,为所选节点打开 Node 详情面板。Node 视图显示节点的深度详情,其中包含有关 CVSS 分数的 CVE 的信息,以及为该节点修复的 CVE。
- 选择 View All on CVE by CVSS 分数 widget 标头来查看所选节点中的所有 CVE 列表。您还可以过滤 CVE 列表。
- 要将可修复的 CVE 导出为 CSV 文件,请在 Node Findings 部分选择 Export as CSV。