Defender 是否扫描并报告运行容器的图像的漏洞Prisma Cloud安慰?
14144
Created On 05/19/22 04:31 AM - Last Modified 03/02/23 01:56 AM
Question
- Defender 是否扫描并报告运行容器的图像的漏洞Prisma Cloud安慰?
Environment
- Prisma Cloud
Answer
- 在Prisma Cloud计算控制台,转到管理 > 系统 > 扫描。
- 选项'只扫描正在运行的容器的图像'可以切换以满足您的要求。
- 启用此选项后,Prisma Cloud通过仅扫描带有运行容器的图像来优化资源使用。
- 扫描并获取CVE所有图像的报告,禁用此选项。
- 但是,如果您只想扫描并获取具有一个或多个正在运行的容器的图像的报告,请启用此选项。
笔记:
- 这个选项做NOT适用于注册表扫描;无论“仅扫描正在运行的容器的图像”如何设置,您的注册表扫描规则所针对的所有图像都将被扫描。
- 如果您怀疑特定图像未被扫描Prisma CloudDefender,在该图像中没有正在运行的容器时检查是否启用了此选项。
例子
- 让我们考虑以下示例。
- “仅扫描运行容器的图像”已禁用,此配置已保存。
- A 启动手动扫描,完成后刷新页面。
- 刷新后,我们会看到所有图像的扫描结果(有和没有运行容器)。
- 单击其中一个没有运行容器的图像可以确认我们的发现。
- 即将监控 > 漏洞 > 漏洞浏览器, 我们点击其中一个 CVE (CVE-2021 -38297 在本例中)以获取受此影响的图像列表CVE.
- 正如所观察到的,显示了有和没有运行容器的图像。
- 接下来,我们启用“仅扫描运行容器的图像”并保存此配置。
- 在另一次手动扫描和刷新后,仅报告具有正在运行的容器的图像的扫描结果。
- 这可以在具有正在运行的容器的图像详细信息之一中得到确认。
- 现在,同样CVE-2021-38297 只报告所有带有正在运行的容器的图像。
Additional Information
Kubernetes 环境
- 每当部署映像时,如果分配的节点上尚不存在该映像,则会将其下载(拉取)到该节点。
- 当从节点中删除部署(即 pod)时,图像并没有从节点中删除,而是仍然缓存在节点的磁盘上。
- 将缓存的图像存储在磁盘上可以节省时间,并且无需在每次重新部署时下载图像。
- 然而,未使用图像的删除由 kubelet(Kubernetes 的工作进程,在每个节点上运行)控制,称为“未使用容器和图像的垃圾收集”:垃圾收集.
- 在这种情况下,如果您看到未使用图像的图像扫描结果(和漏洞),那是因为'只扫描运行中容器的镜像'被禁用。
- 因此,请记住,应避免使用外部垃圾收集工具,因为这些工具会破坏 kubelet 行为并删除本应存在的容器。
- 默认情况下,Prisma Cloud每 24 小时自动扫描图像中的漏洞。
- 扫描频率可通过转到管理 > 系统 > 扫描在计算部分如下所示:
有关详细信息,请参阅以下内容: