Defender は実行中のコンテナーを含むイメージの脆弱性をスキャンしてレポートします。Prisma Cloudコンソール?
14170
Created On 05/19/22 04:31 AM - Last Modified 03/02/23 01:56 AM
Question
- Defender は実行中のコンテナーを含むイメージの脆弱性をスキャンしてレポートします。Prisma Cloudコンソール?
Environment
- Prisma Cloud
Answer
- のPrisma Cloud計算コンソール、に移動管理 > システム > スキャン。
- オプション「実行中のコンテナーでイメージのみをスキャンする」要件に合わせて切り替えることができます。
- このオプションを有効にすると、Prisma Cloud実行中のコンテナーでイメージのみをスキャンすることにより、リソースの使用を最適化します。
- スキャンして取得するにはCVEすべての画像のレポートを作成するには、このオプションを無効にします。
- ただし、実行中のコンテナーを含むイメージのレポートをスキャンして取得するだけの場合は、このオプションを有効にします。
ノート:
- このオプションはNOTレジストリ スキャンに適用されます。レジストリ スキャン ルールの対象となるすべてのイメージは、[実行中のコンテナーを含むイメージのみをスキャンする] の設定に関係なくスキャンされます。
- 特定の画像がスキャンされていない疑いがある場合Prisma CloudDefender、そのイメージから実行中のコンテナーがないときに、このオプションが有効になっているかどうかを確認してください。
例
- 次の例を考えてみましょう。
- 「実行中のコンテナーでイメージのみをスキャンする」が無効になり、この構成が保存されます。
- A 手動スキャンが開始され、完了後にページが更新されます。
- 更新すると、すべてのイメージのスキャン結果が表示されます (コンテナーを実行している場合と実行していない場合)。
- コンテナが実行されていないイメージの 1 つをクリックすると、調査結果が確認されます。
- に行く監視 > 脆弱性 > 脆弱性エクスプローラー、CVEの1つをクリックします(CVE-2021 -38297 (この例では) は、この影響を受けるイメージのリストを取得します。CVE .
- ご覧のとおり、コンテナーを実行しているイメージと実行していないイメージの両方が表示されます。
- 次に、「実行中のコンテナーでイメージのみをスキャンする」を有効にして、この構成を保存します。
- もう一度手動でスキャンして更新すると、実行中のコンテナを含むイメージのスキャン結果のみが報告されます。
- これは、実行中のコンテナーがあるイメージの詳細の 1 つで確認できます。
- 今、同じCVE-2021-38297 は、実行中のコンテナを含むすべてのイメージのみを報告します。
Additional Information
Kubernetes 環境
- イメージがデプロイされるたびに、割り当てられたノードにイメージがまだ存在しない場合は、そのノードにダウンロード (プル) されます。
- デプロイメント (ポッド) がノードから削除されると、イメージはノードから削除されませんが、ノードのディスクにキャッシュされたままになります。
- ディスクにキャッシュされたイメージを保存すると、時間が節約され、再デプロイのたびにイメージをダウンロードする必要がなくなります。
- ただし、未使用のイメージの削除は、「未使用のコンテナーとイメージのガベージ コレクション」と呼ばれる kubelet (各ノードで実行される Kubernetes のワーカー プロセス) によって制御されます。ガベージ コレクション.
- このようなシナリオで、未使用のイメージのイメージ スキャン結果 (および脆弱性) が表示される場合、それは次の理由によるものです。 'コンテナが実行されているイメージのみをスキャンする'無効になっています。
- これにより、外部のガベージ コレクション ツールの使用は避ける必要があることに注意してください。これらのツールは kubelet の動作を壊し、存在するはずのコンテナーを削除する可能性があるためです。
- デフォルトでは、Prisma Cloud 24 時間ごとに画像の脆弱性を自動的にスキャンします。
- スキャン頻度は、次のように設定できます。管理 > システム > スキャン計算セクションで以下に示すように:
詳細については、次を参照してください。