Le Defender analyse-t-il et signale-t-il les vulnérabilités des images avec des conteneurs en cours d’exécution à la Prisma Cloud console ?
14154
Created On 05/19/22 04:31 AM - Last Modified 03/02/23 01:56 AM
Question
- Le Defender analyse-t-il et signale-t-il les vulnérabilités des images avec des conteneurs en cours d’exécution à la Prisma Cloud console ?
Environment
- Prisma Cloud
Answer
- Dans Prisma Cloud Compute Console, accédez à Gérer > système > analyse.
- L'option ' Analyser uniquement les images avec des conteneurs en cours d'exécution' peut être basculée en fonction de vos besoins.
- Lorsque cette option est activée, Prisma Cloud optimise l’utilisation des ressources en analysant uniquement les images avec des conteneurs en cours d’exécution.
- Pour numériser et obtenir le CVE rapport de toutes les images, désactivez cette option.
- Toutefois, si vous souhaitez uniquement numériser et obtenir le rapport des images qui ont un ou plusieurs conteneurs en cours d’exécution, activez cette option.
Remarque :
- Cette option s'applique à l' NOT analyse du registre ; toutes les images ciblées par votre règle d'analyse du registre seront analysées, quelle que soit la définition de « Analyser uniquement les images avec des conteneurs en cours d'exécution ».
- Si vous pensez qu’une image particulière n’est pas analysée par Prisma Cloud Defender, vérifiez si cette option est activée tant qu’il n’y a pas de conteneur en cours d’exécution à partir de cette image.
Exemple
- Considérons l’exemple suivant.
- 'Analyser uniquement les images avec des conteneurs en cours d'exécution' est désactivé et cette configuration est enregistrée.
- A L’analyse manuelle est lancée et, une fois terminée, la page est actualisée.
- Une fois actualisées, nous voyons les résultats de numérisation de toutes les images (avec et sans conteneurs en cours d’exécution).
- Cliquer sur l’une des images sans conteneurs en cours d’exécution confirme nos conclusions.
- En allant surveiller > vulnérabilités > Vulnerability Explorer, nous cliquons sur l’un des CVE (CVE-2021-38297 dans cet exemple) pour obtenir une liste des images affectées par ce CVE.
- Comme observé, les images avec et sans conteneurs en cours d’exécution sont affichées.
- Ensuite, nous activons 'Analyser uniquement les images avec des conteneurs en cours d'exécution' et Enregistrer cette configuration.
- Après une autre analyse et actualisation manuelles, seuls les résultats de l’analyse des images avec conteneurs en cours d’exécution sont signalés.
- Cela peut être confirmé dans l’un des détails de l’image qui a des conteneurs en cours d’exécution.
- Maintenant, le même CVE-2021-38297 ne signale que toutes les images avec des conteneurs en cours d’exécution.
Additional Information
Environnement Kubernetes
- Chaque fois qu’une image est déployée, si elle n’existe pas déjà sur le nœud affecté, elle est téléchargée (extraite) sur ce nœud.
- Lorsque le déploiement (c’est-à-dire l’espace) est supprimé du nœud, l’image n’est pas supprimée du nœud, mais reste mise en cache sur le disque du nœud.
- Le stockage de l’image mise en cache sur le disque permet de gagner du temps et de devoir télécharger l’image à chaque redéploiement.
- Cependant, la suppression des images inutilisées est contrôlée par kubelet (le processus de travail de Kubernetes, qui s'exécute sur chaque nœud), appelé 'Garbage collection of unused containers and images: Garbage Collection.
- Dans un tel scénario, si vous voyez des résultats d'analyse d'image (et des vulnérabilités) pour des images inutilisées, c'est parce que « Analyser uniquement les images avec des conteneurs en cours d'exécution » est désactivé.
- Avec cela, gardez à l’esprit que l’utilisation d’outils de collecte des déchets externes doit être évitée car ils peuvent briser le comportement des kubelets et supprimer les conteneurs qui devraient exister.
- Par défaut, Prisma Cloud analyse automatiquement les images à la recherche de vulnérabilités toutes les 24 heures.
- La fréquence d’analyse est configurable en accédant à Gérer > système > Analyse dans la section Calcul, comme indiqué ci-dessous :
Pour plus d’informations, reportez-vous aux rubriques suivantes :