¿El Defender analiza e informa vulnerabilidades en busca de imágenes con contenedores en ejecución en la Prisma Cloud consola?
15156
Created On 05/19/22 04:31 AM - Last Modified 03/02/23 01:56 AM
Question
- ¿El Defender analiza e informa vulnerabilidades en busca de imágenes con contenedores en ejecución en la Prisma Cloud consola?
Environment
- Prisma Cloud
Answer
- En Prisma Cloud Compute Console, vaya a Administrar > sistema > Scan.
- La opción ' Escanear solo imágenes con contenedores en ejecución' se puede alternar para satisfacer sus necesidades.
- Con esta opción habilitada, Prisma Cloud optimiza el uso de recursos escaneando solo imágenes con contenedores en ejecución.
- Para escanear y obtener el CVE informe de todas las imágenes, desactive esta opción.
- Sin embargo, si solo desea escanear y obtener el informe de imágenes que tienen un contenedor o contenedores en ejecución, habilite esta opción.
Nota:
- Esta opción se aplica al análisis del Registro; todas las imágenes a las que se dirige la regla de análisis del Registro se NOT analizarán independientemente de cómo esté configurado "Escanear solo imágenes con contenedores en ejecución".
- Si sospecha que Defender no está analizando Prisma Cloud una imagen en particular, compruebe si esta opción está habilitada mientras no haya ningún contenedor en ejecución desde esa imagen.
Ejemplo
- Consideremos el siguiente ejemplo.
- 'Escanear solo imágenes con contenedores en ejecución' está deshabilitado y esta configuración se guarda.
- A Se inicia el análisis manual y, una vez finalizado, la página se actualiza.
- Una vez actualizado, vemos los resultados del escaneo de todas las imágenes (con y sin contenedores en ejecución).
- Al hacer clic en una de las imágenes sin contenedores en ejecución, confirman nuestros hallazgos.
- Yendo a Monitor > Vulnerabilidades > Explorador de vulnerabilidades, hacemos clic en uno de los CVEs (CVE-2021-38297 en este ejemplo) para obtener una lista de Imágenes afectadas por esto.CVE
- Como se ha observado, se muestran tanto imágenes con como sin contenedores en ejecución.
- A continuación, habilitamos 'Solo escanear imágenes con contenedores en ejecución' y guardamos esta configuración.
- Después de otro análisis y actualización manuales, solo se informan los resultados del análisis de imágenes con contenedores en ejecución.
- Esto se puede confirmar en uno de los detalles de imagen que tiene contenedores en ejecución.
- Ahora, el mismo CVE-2021-38297 solo informa todas las imágenes con contenedores en ejecución.
Additional Information
Entorno de Kubernetes
- Cada vez que se implementa una imagen, si la imagen aún no existe en el nodo asignado, se descarga (extrae) en ese nodo.
- Cuando la implementación (es decir, pod) se elimina del nodo, la imagen no se elimina del nodo, sino que permanece en caché en el disco del nodo.
- El almacenamiento de la imagen almacenada en caché en el disco ahorra tiempo y necesidad de descargar la imagen en cada reimplementación.
- Sin embargo, la eliminación de imágenes no utilizadas está controlada por kubelet (proceso de trabajo de Kubernetes, que se ejecuta en cada nodo), denominado 'Recolección de basura de contenedores e imágenes no utilizados: Recolección de basura.
- En tal escenario, si ve resultados (y vulnerabilidades) de escaneo de imágenes para imágenes no utilizadas, es porque 'Solo escanear imágenes con contenedores en ejecución' está deshabilitado.
- Con esto, tenga en cuenta que se debe evitar el uso de herramientas externas de recolección de basura, ya que estas pueden romper el comportamiento de kubelet y eliminar los contenedores que deberían existir.
- De forma predeterminada, Prisma Cloud analiza automáticamente las imágenes en busca de vulnerabilidades cada 24 horas.
- La frecuencia de escaneo se puede configurar yendo a Administrar > sistema > Análisis en la sección Proceso como se muestra a continuación:
Para obtener más información, consulte lo siguiente: