Scannt der Defender Schwachstellen für Images mit ausgeführten Containern und meldet sie an die Prisma Cloud Konsole?
15154
Created On 05/19/22 04:31 AM - Last Modified 03/02/23 01:56 AM
Question
- Scannt der Defender Schwachstellen für Images mit ausgeführten Containern und meldet sie an die Prisma Cloud Konsole?
Environment
- Prisma Cloud
Answer
- Wechseln Sie in Prisma Cloud Compute Console zu Verwalten > Systemscan > Scan.
- Die Option " Nur Bilder mit laufenden Containern scannen" kann an Ihre Anforderungen angepasst werden.
- Wenn diese Option aktiviert ist, wird die Ressourcennutzung optimiert, Prisma Cloud indem nur Bilder mit ausgeführten Containern gescannt werden.
- Um alle Bilder zu scannen und den CVE Bericht zu erhalten, deaktivieren Sie diese Option.
- Wenn Sie jedoch nur Bilder scannen und den Bericht abrufen möchten, die einen oder mehrere Container ausführen, aktivieren Sie diese Option.
Hinweis:
- Diese Option NOT gilt für das Scannen der Registrierung; alle Bilder, auf die Ihre Registrierungsscanregel abzielt, werden gescannt, unabhängig davon, wie "Nur Bilder mit laufenden Containern scannen" eingestellt ist.
- Wenn Sie vermuten, dass ein bestimmtes Image nicht von Prisma Cloud Defender gescannt wird, überprüfen Sie, ob diese Option aktiviert ist, während kein Container von diesem Image ausgeführt wird.
Beispiel
- Betrachten wir das folgende Beispiel.
- 'Nur Bilder mit laufenden Containern scannen' ist deaktiviert und diese Konfiguration wird gespeichert.
- A Der manuelle Scan wird gestartet und nach Abschluss wird die Seite aktualisiert.
- Nach der Aktualisierung sehen wir die Scanergebnisse aller Bilder (mit und ohne laufende Container).
- Ein Klick auf eines der Bilder ohne laufende Container bestätigt unsere Ergebnisse.
- Wenn wir zu Überwachen > Schwachstellen > Vulnerability Explorer gehen, klicken wir auf eine der CVEs (CVE-2021-38297 in diesem Beispiel), um eine Liste der davon CVEbetroffenen Bilder zu erhalten.
- Wie beobachtet, werden sowohl Bilder mit als auch ohne laufende Container gezeigt.
- Als nächstes aktivieren wir "Nur Bilder mit laufenden Containern scannen" und speichern diese Konfiguration.
- Nach einem weiteren manuellen Scan und Aktualisieren werden nur Scanergebnisse von Images mit ausgeführten Containern gemeldet.
- Dies kann in einem der Image-Details mit Running Containers bestätigt werden.
- Jetzt meldet derselbe CVE-2021-38297 nur alle Images mit laufenden Containern.
Additional Information
Kubernetes-Umgebung
- Wenn ein Image bereitgestellt wird und das Image noch nicht auf dem zugewiesenen Knoten vorhanden ist, wird es auf diesen Knoten heruntergeladen (gezogen).
- Wenn die Bereitstellung (d. h. Pod) aus dem Knoten entfernt wird, wird das Image nicht vom Knoten gelöscht, sondern bleibt auf der Festplatte des Knotens zwischengespeichert.
- Das Speichern des auf dem Datenträger zwischengespeicherten Images spart Zeit und muss das Image bei jeder erneuten Bereitstellung herunterladen.
- Das Löschen nicht verwendeter Bilder wird jedoch von Kubelet (Kubernetes' Arbeitsprozess, der auf jedem Knoten ausgeführt wird) gesteuert, der als "Garbage Collection of unused containers and images: Garbage Collection" bezeichnet wird.
- Wenn in einem solchen Szenario Image-Scan-Ergebnisse (und Sicherheitsanfälligkeiten) für nicht verwendete Images angezeigt werden, liegt dies daran, dass "Nur Bilder mit laufenden Containern scannen" deaktiviert ist.
- Beachten Sie daher, dass die Verwendung externer Garbage-Collection-Tools vermieden werden sollte, da diese das Küblet-Verhalten unterbrechen und eventuell vorhandene Container entfernen können.
- Standardmäßig Prisma Cloud scannt Bilder automatisch alle 24 Stunden auf Schwachstellen.
- Die Scan-Häufigkeit kann konfiguriert werden, indem Sie im Abschnitt Compute zu Manage > System > Scan gehen, wie unten gezeigt:
Weitere Informationen finden Sie unter: