10.2. 常见任务

本节列出了您可以在 Vulnerability ManagementDashboard 视图中执行的一些常见任务。

10.2.1. 查找影响您基础架构的关键 CVE

使用 漏洞管理 视图来识别影响您最强平台的 CVE。

流程

  1. 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management
  2. 选择 Vulnerability Management view 标头上的 CVE。
  3. CVEs 视图中,选择 Env Impact 列标题,以根据环境影响来按降序排列 CVE(最高名)。

10.2.2. 查找最易受攻击的镜像组件

使用 漏洞管理视图 来识别存在安全漏洞的镜像组件。

流程

  1. 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management
  2. Vulnerability Management 视图标头中选择 Application & InfrastructureComponents
  3. 组件 视图中,选择 CVEs 列标题,以根据 CVE 计数以降序排列组件(最高名)。

10.2.3. 识别引入漏洞的容器镜像层

使用 漏洞管理 视图识别存在安全漏洞的组件及其出现在镜像层。

流程

  1. 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management
  2. Top Riskies Images 小部件中选择镜像
  3. Image details 视图中,选择 Image Findings 部分下的 Dockerfile 选项卡。
  4. Image Findings 部分下的 Dockerfile 选项卡中,选择展开图标来查看镜像组件的摘要。
  5. 选择特定组件的扩展图标,以获取有关影响所选组件的 CVE 的更多详细信息。

10.2.4. 仅查看可修复的 CVE 的详情

使用 漏洞管理 视图过滤和仅显示可修复的 CVE。

流程

  1. 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management
  2. Vulnerability Management 视图标头中选择 Filter CVEsFixable

10.2.5. 识别基础镜像的操作系统

使用 漏洞管理 视图确定基础镜像的操作系统。

流程

  1. 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management
  2. Vulnerability Management 视图标头中选择 Images
  3. 查看 Image OS 列下所有镜像的基础操作系统(OS)和 OS 版本。
  4. 选择一个镜像来查看其详情。基础操作系统也位于 Image SummaryDetails 和 Metadata 部分。
注意

在 Red Hat Advanced Cluster Security for Kubernetes 时,Red Hat Advanced Cluster Security for Kubernetes 将镜像 OS 列为 unknown

  • 操作系统信息不可用,或者
  • 如果使用的镜像扫描程序没有提供此信息。

Docker Trusted Registry、Google Container Registry 和 Anchore 不提供此信息。

10.2.6. 识别主要风险对象

使用 漏洞管理 视图确定您环境中的最大风险对象。Top Risky widget 显示有关环境中顶级风险镜像、部署、集群和命名空间的信息。风险根据漏洞的数量及其 CVSS 分数来决定。

流程

  1. 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management

  2. 选择 Top Risky widget 标头以选择风险性镜像、部署、集群和命名空间。

    chart 上的小圆形表示所选对象(镜像、部署、集群、命名空间)。将鼠标悬停在圆括号上,以查看它们所代表对象的概览。然后选择一个圆形来查看有关所选对象、相关实体以及它们之间的连接的详细信息。

    例如,如果您通过 CVE Count 和 CVSS 分数查看最佳风险部署,则图表上的每个圆形都代表部署。

    • 当您将鼠标悬停在部署上时,您会看到部署概述,其中包括部署名称、集群和命名空间名称、严重性、风险优先级、CVSS 和 CVE 计数(包括可修复)。
    • 当您选择一个部署时,会为所选部署打开 Deployment 视图。Deployment 视图中显示部署的深入了解,包括有关该部署的策略违反情况、常见漏洞、CVE 和风险镜像的信息。
  3. 选择 View All on the widget 标头来查看所选类型的所有对象。例如,如果您 根据 CVE Count 和 CVSS 分数选择顶级风险 部署,您可以选择 View All 查看基础架构中所有部署的详细信息。

10.2.7. 识别镜像和组件的主要风险

top Risky 类似,Top Riskiest 列出了主要风险的镜像和组件的名称。此小部件还包括列表镜像中可修复的 CVE 总数和可修复的 CVE 数量。

流程

  1. 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management

  2. 选择 Top Riskiest Images 小部件标题,以在不同的风险和组件之间进行选择。如果您看到 最大的风险镜像

    • 当您将鼠标悬停在列表中的镜像上时,您会看到镜像概述,其中包括镜像名称、扫描时间以及 CVE 的数量(关键、高、中度和低)。
    • 当您选择镜像时,为所选镜像打开 Image 视图。Image 视图显示镜像的深度详情,包括 CVSS 分数、最高风险组件、可修复的 CVE 和 Dockerfile 的信息。
  3. 选择 View All on the widget 标头来查看所选类型的所有对象。例如,如果您选择 顶级风险组件,可以选择 View All 来查看基础架构中所有组件的详细信息。

10.2.8. 查看镜像的 Dockerfile

使用 漏洞管理 视图查找镜像中漏洞的根本原因。您可以查看 Dockerfile 并查找 Dockerfile 中的哪个命令引入了漏洞以及与该单一命令关联的所有组件。

Dockerfile 标签显示以下信息:

  • Dockerfile 中的所有层
  • 每个层的 instructions 及其值
  • 每个层中包含的组件
  • 每个层的组件中的 CVE 数量

当有特定层引入的组件时,您可以选择展开图标来查看其组件的摘要。如果这些组件中存在任何 CVE,您可以选择单个组件的扩展图标,以获取有关影响该组件的 CVE 的更多详细信息。

流程

  1. 导航到 RHACS 门户,从导航菜单中单击 Vulnerability Management
  2. Top Riskies Images 小部件中选择镜像
  3. Image details 视图中,选择 Image Findings 部分下的 Dockerfile 选项卡。

10.2.9. 禁用节点中的识别漏洞

识别节点中的漏洞会被默认启用。您可以从 RHACS 门户禁用它。

流程

  1. 在 RHACS 门户网站中,进入 Platform ConfigurationIntegrations
  2. Image Integrations 下,选择 StackRox Scanner
  3. 从扫描程序列表中,选择 StackRox Scanner 来查看其详细信息。
  4. 从类型中删除 Node Scanner 选项
  5. 选择 Save

10.2.10. 扫描不活跃镜像

Red Hat Advanced Cluster Security for Kubernetes 每 4 小时扫描所有活跃的(部署)镜像,并更新镜像扫描结果以反映最新的漏洞定义。

您还可以将 Red Hat Advanced Cluster Security for Kubernetes 配置为自动扫描不活跃(未部署)镜像。

流程

  1. 选择 Vulnerability Management 视图标头上的 Images 来查看所有镜像的列表。
  2. Images 视图中,选择 Watch Images
  3. Manage Inactive Images 对话框中,输入您要启用扫描的非活动 镜像的名称(而不是镜像 ID)。
  4. 选择 Add Image。Red Hat Advanced Cluster Security for Kubernetes 然后扫描镜像,并显示错误或成功信息。
  5. 选择 return to Image 列表 来查看 Images 视图。

10.2.11. 创建阻止特定 CVE 的策略

您可以从 漏洞管理 视图创建新策略,或将特定的 CVE 添加到现有策略中。

流程

  1. Vulnerability Management 视图标头中点 CVE
  2. 为一个或多个 CVE 选择复选框(左高列),然后单击 Add selected CVE to Policy添加 图标)。或者,将鼠标移到列表中的 CVE 上,然后选择右侧的 Add 图标。

  3. 对于 Policy Name

    • 要将 CVE 添加到现有策略,请从下拉列表中选择现有策略。
    • 要创建新策略,请输入新策略的名称,然后选择 Create <policy_name>
  4. Severity 选择一个值,可以是 CriticalHighMediumLow
  5. BuildDeploy 中选择您的策略适用的 Lifecycle Stage。您还可以选择两个生命周期阶段。
  6. Description 框中输入策略详情。
  7. 如果要创建策略但在以后启用它,请关闭 Enable Policy 切换。Enable Policy 切换默认是 on。
  8. 验证此策略中包含的列出 CVE。
  9. Save Policy

10.2.12. 查看最近检测到的漏洞

漏洞管理 视图中的 Recently Detected vulnerabilities widget 显示您扫描镜像中最近发现的漏洞列表,具体取决于扫描时间和 CVSS 分数。它还包含有关受 CVE 影响的镜像数及其影响(百分比)的信息。

  • 当您将某个 CVE 悬停在列表上的 CVE 中时,您会看到 CVE 的概述,其中包括扫描时间、CVSS 得分、描述、影响以及是否使用 CVSS v2 或 v3 评分。
  • 当您选择 CVE 时,为所选 CVE 打开 CVE 详情视图。CVE 详情视图显示 CVE 的深度信息,以及它所出现的组件、镜像和部署。
  • 选择 View All on the Recently Detected Vulnerabilities widget 标头来查看您基础架构中所有 CVE 的列表。您还可以过滤 CVE 列表。

10.2.13. 查看最常见的漏洞

漏洞管理视图 中的大多数 常见漏洞 小部件显示,它们会影响最大数量的部署和镜像,按其 CVSS 分数排列。

  • 当您将某个 CVE 悬停在列表中的 CVE 中时,您会看到 CVE 概述,其中包括、扫描时间、CVSS 得分、描述、影响以及是否使用 CVSS v2 或 v3 评分。
  • 当您选择 CVE 时,为所选 CVE 打开 CVE 详情视图。CVE 详情视图显示 CVE 的深度信息,以及它所出现的组件、镜像和部署。
  • 选择 View All on Most Common Vulnerabilities widget 标头来查看您基础架构中所有 CVE 的列表。您还可以过滤 CVE 列表。要将 CVE 导出为 CSV 文件,请选择 ExportDownload CVES 作为 CSV

10.2.14. 识别带有最严重策略违反的部署

漏洞管理 视图中 具有最严重的策略违反小部件的 Deployment 显示了影响该部署的漏洞的部署和严重性列表。

  • 当您将鼠标悬停在列表中的部署上时,您会看到部署概述,其中包括部署名称、集群的名称以及部署所在的命名空间,以及失败策略的数量及其严重性。
  • 当您选择一个部署时,会为所选部署打开 Deployment 视图。Deployment 视图中显示部署的深入了解,包括有关该部署的策略违反情况、常见漏洞、CVE 和风险镜像的信息。
  • 选择 View All on Most Common Vulnerabilities widget 标头来查看您基础架构中所有 CVE 的列表。您还可以过滤 CVE 列表。要将 CVE 导出为 CSV 文件,请选择 ExportDownload CVES 作为 CSV

10.2.15. 使用大多数 Kubernetes 和 Istio 漏洞查找集群

使用 漏洞管理 视图,在您的环境中识别带有最多 Kubernetes 和 Istio 漏洞的集群。

带有大多数 K8S 和 Istio 漏洞 的集群会显示一个集群列表,由每个集群的 Kubernetes 和 Istio 漏洞数量列入。列表顶部的集群是具有最多漏洞的集群。

流程

  1. 从列表中选择一个集群来查看集群的详情。Cluster 视图包括:

    • Cluster Details 部分,显示集群详情和元数据、主要风险对象(部署、命名空间和镜像)、最近检测到的漏洞、风险镜像以及带有最严重的策略违反的部署。
    • Cluster Findings 部分,其中包括失败策略列表以及可修复的 CVE 列表。
    • 相关实体 部分,显示集群包含的命名空间、部署、策略、镜像、组件和 CVE 的数量。您可以选择这些实体来查看更多详情。
  2. 点 widget 标头上的 View All 来查看所有集群的列表。

10.2.16. 识别节点中的漏洞

您可以使用 漏洞管理视图 来识别节点中的漏洞。识别的漏洞包括以下漏洞:

  • Kubernetes 核心组件。

  • 容器运行时(Docker、CRI-O、runC 和 containerd)。

    注意
    • Red Hat Advanced Cluster Security for Kubernetes 不支持识别 OpenShift Container Platform 中的节点中的漏洞。

    • Red Hat Advanced Cluster Security for Kubernetes 可以识别以下操作系统中的漏洞:

      • Amazon Linux 2
      • CentOS
      • Debian
      • Garden Linux(Debian 11)
      • Red Hat Enterprise Linux(RHEL)
      • Ubuntu(AWS、Azure、GCP 和 GKE 特定版本)

流程

  1. 选择 Vulnerability Management 视图标头上的 Nodes,以查看影响节点的所有 CVE 列表。

  2. 从列表中选择一个节点,以查看影响该节点的所有 CVE 的详情。

    1. 当您选择节点时,为所选节点打开 Node 详情面板。Node 视图显示节点的深度详情,其中包含有关 CVSS 分数的 CVE 的信息,以及为该节点修复的 CVE。
    2. 选择 View All on CVE by CVSS 分数 widget 标头来查看所选节点中的所有 CVE 列表。您还可以过滤 CVE 列表。
    3. 要将可修复的 CVE 导出为 CSV 文件,请在 Node Findings 部分选择 Export as CSV