目录
处理仓库中的镜像
“资源 → 仓库”部分包含卡巴斯基容器安全扫描的镜像存储库列表以及镜像扫描结果。该列表包括与卡巴斯基容器安全集成的仓库中的镜像。您可以自动或手动向该列表添加镜像。
当您在“管理”中配置与仓库的集成以及拉取和扫描仓库镜像的设置之前,镜像列表为空。
镜像列表显示为表格,镜像按存储库分组。
您可以在“资源 → 仓库”部分中执行以下操作:
- 按名称或校验和搜索镜像。
仅在选定的活动镜像仓库中进行搜索。如果所查找的镜像不在所选仓库中,而是其他仓库的一部分,则搜索不会给出任何结果。
- 筛选列表以显示符合指定条件的镜像:
- 仅限指定仓库中的镜像;
- 符合或不符合基准的镜像;
- 在指定时间段内扫描的镜像;
- 已识别出指定风险的镜像。
- 开始重新扫描指定镜像(选择一个或多个镜像后,表格上方会显示“重新扫描”按钮)。
- 生成所选镜像的报告(选择一个或多个镜像后,表格上方会显示“创建报告”按钮)。
- 将镜像添加到列表中和从列表中删除镜像。
- 查看有关镜像扫描结果的详细信息。
添加和删除镜像
与卡巴斯基容器安全集成的仓库中的镜像可以自动添加到镜像列表中,与为每个仓库拉取和扫描镜像所配置的设置一致。您还可以手动向仓库镜像列表中添加镜像。新镜像将排队等待扫描。
要手动向列表添加镜像:
- 在资源 → 仓库部分,单击表格上方的添加镜像按钮。
您不能将镜像添加到根据外部 Harbor 仓库的请求创建的镜像仓库中。
- 在显示的窗口中,从仓库下拉列表中选择一个仓库。
- 在搜索字段中,输入存储库或者镜像的名称或部分名称,然后单击搜索按钮。
- 在存储库下面,选择一个存储库。
- 在镜像标签下面,使用复选框选择镜像。
您可以从多个存储库选择镜像。
- 单击“添加镜像”按钮。
为了优化镜像仓库的负载,每 10 分钟生成一次所连接仓库中镜像的列表。新镜像出现在仓库中后,可能会延迟指定的时间后才显示在卡巴斯基容器安全界面中。
要从列表中删除镜像:
- 在“资源 → 仓库”部分中,执行以下操作之一:
- 从列表中选择要删除的一个或多个镜像,然后使用表格上方的“删除”链接开始删除。
- 在列表中,选择要删除的镜像的存储库,打开存储库名称所在行的操作菜单,然后选择“删除存储库”。
- 在打开的窗口中,确认删除。
查看仓库的镜像扫描结果
有关存储库中所有镜像和每个特定镜像的扫描结果的摘要信息显示在存储库中“资源 → 仓库”部分的镜像列表中。
单击镜像名称链接可打开包含镜像扫描结果详细信息的页面。
窗口顶部的选项卡包含以下信息:
- “风险”选项卡提供扫描结果的摘要。如果在扫描过程中检测到威胁,页面底部会提供推荐的保护镜像的操作。单击“重新扫描镜像”按钮可重复扫描镜像。
- “漏洞”选项卡显示在镜像中检测到的漏洞。点击漏洞名称中的链接,即可打开漏洞的详细描述,并了解是否存在。
卡巴斯基容器安全从连接的漏洞数据库接收漏洞描述。该描述以漏洞数据库的语言提供。例如,来自 NVD 的漏洞描述以英语显示。
解决方案中的漏洞分类与连接的漏洞数据库中使用的分类相匹配。 - “层”选项卡显示镜像中使用的层以及已识别漏洞的规格。单击层名称链接可打开已识别漏洞的详细描述。
- “资源”选项卡展示资源(组件)以及已识别漏洞的规格。单击资源名称链接可打开已识别漏洞的详细描述。
- 恶意软件扫描列出扫描在镜像中检测到的恶意软件。单击恶意软件名称链接可打开详细描述。
- “敏感数据”选项卡将显示在镜像中发现的敏感数据(机密),例如密码、访问密钥或令牌。
- “错误配置”选项卡显示检测到的构成威胁的镜像错误配置。单击错误配置名称链接可打开详细描述。
- “信息”选项卡提供有关镜像和镜像历史记录的基本信息。
- “哈希扫描历史记录”显示每个镜像版本的最新扫描结果。如果扫描相同版本的镜像,结果会更新;如果扫描不同版本的镜像,结果会添加到表格的单独行中。
以下信息为每个镜像显示:
- 对安全策略要求的符合情况。
- 风险评级,表明风险严重程度。
- 上次扫描的日期和时间。
- 在镜像中包含漏洞、恶意软件、敏感数据和配置错误的对象的数量。对于漏洞,将针对每个已识别的风险严重程度级别分别标明对象数量。
- 在当前范围内采用适当的安全策略进行镜像扫描的结果。
如果某个镜像包含在通过 Harbor 请求与解决方案集成时创建的镜像仓库中,则解决方案会指示这一点,并使用 Harbor 图标 (
)标记镜像。
您可以通过单击创建报告按钮生成有关镜像的详细报告。您也可以通过单击重新扫描按钮来启动重新扫描镜像。
无法对卡巴斯基容器安全从通过 Harbor 请求与解决方案集成期间创建的镜像仓库中收到的镜像进行重新扫描。
您可以接受每个已识别的风险。
页首有关检测到的漏洞的详细信息
镜像扫描期间检测到的漏洞列表以表格形式显示在镜像扫描结果窗口的“漏洞”选项卡上。对于每个漏洞,提供了以下信息:
- 漏洞条目标识符 标识符以 CVE-YYYY-X... 格式给出,其中:
- CVE 是一个前缀,表示该漏洞已包含在已知漏洞和安全缺陷数据库中。
- YYYY 是报告该漏洞的年份。
- X... 是授权机构分配给漏洞的编号。
- 漏洞的严重级别基于其风险评级。
如果漏洞包含漏洞利用,则漏洞利用图标 (
) 会显示在严重级别旁边。 - 在其中检测到漏洞的已安装容器化资源。
- 供应商是否提供了针对该漏洞的修复程序。解决方案显示具有修复方案的版本号,或指示无可用的修复方案。
您可以通过单击风险接受列中的“接受”按钮接受漏洞的风险。
要接受风险,就需要有风险管理权限。
要查看检测到的漏洞的详细信息:
- 单击以下部分之一中含有漏洞记录 ID 的链接:
- 在镜像扫描结果窗口的“漏洞”选项卡上。
- 在控制板的漏洞块中。
- 在包含完整漏洞列表的的表格中,在调查→漏洞部分。
- 这将打开侧边栏,其中包含有关检测到的漏洞的以下信息:
- 漏洞条目标识符
- 来自漏洞数据库的漏洞描述。该描述以漏洞数据库的语言提供。例如,NVD 的漏洞描述以英文显示。
- 常规信息选项卡显示以下内容:
- 漏洞的严重级别基于其风险评级。
- 在其中检测到漏洞的已安装资源。
- 基于 、 和 漏洞数据库中的 S 开放标准的漏洞严重程度分数,以及最终的综合漏洞严重程度分数。
- “Artifacts”选项卡显示来自仓库和运行时或 CI/CD 对象的镜像工件的详细信息,并指示有多少个工件。
来自仓库或运行时的镜像块显示以下信息:
- 镜像对象类型和镜像的名称。如果自动配置文件是根据此镜像的校验和创建的,则自动配置文件图标 (
) 会出现在镜像名称旁边。
通过单击镜像名称,您可以转到包含有关镜像扫描结果的详细信息的页面。
要查看详细信息,您需要有查看镜像扫描结果的权限。
- 镜像的操作系统。
- 镜像的合规性状态:合规或不合规。
- 风险评级。
- 上次扫描图像的日期和时间
- 在镜像中首次检测到漏洞的日期和时间。
CI/CD 管道中对象的块显示以下信息:
- 对象类型,对应于工件类型和对象名称。
通过单击工件的名称,您可以转到包含有关项目构建阶段扫描对象结果的详细信息的页面。
要查看详细信息,您需要有查看 CI/CD 流程中扫描对象的结果的权限。
- 在其中扫描对象的操作系统。
- 镜像的合规性状态:合规或不合规。
- 风险评级。
- 上次对象扫描的日期和时间。
- 在对象中首次检测到漏洞的日期和时间。
- 在 CI/CD 进程中扫描对象的时间戳。
- 镜像对象类型和镜像的名称。如果自动配置文件是根据此镜像的校验和创建的,则自动配置文件图标 (
- 工作负载选项卡显示包含存在漏洞的镜像的 Pod 列表以及它们的数量。对于每个对象,提供了以下信息:
- 包含在其中检测到漏洞的 Pod 镜像的集群的名称。
- 包含在其中检测到漏洞的 Pod 镜像的命名空间的名称。
如果您单击命名空间名称,解决方案将从图表中打开命名空间的侧面板。
- 检测到漏洞的镜像的 Pod 名称。
如果你单击命名空间名称,解决方案将从图表中打开 Pod 的侧面板。
- 风险接受选项卡显示以下信息:
- 风险接受日期。
- 风险接受期间。
- 子集。
- 发起风险接受的人。
- 接受风险的原因。
如果您有权查看已接受的风险,则“风险接受”选项卡可用。
对于每个接受的风险,您可以执行以下操作:
- 单击
图标来设置风险接受的持续时间。 - 单击
图标来取消风险接受。
此选项卡还可让您使用“添加风险接受”按钮为漏洞添加风险接受。
需要“管理风险”权限才能编辑风险接受设置。
有关检测到的恶意软件的详细信息
如果镜像扫描检测到恶意软件,解决方案会在包含镜像扫描结果信息的页面上显示这一情况。要查看有关检测到的恶意对象的详细信息,请在包含镜像扫描结果的窗口中选择“恶意软件扫描”选项卡。
对于每个对象,解决方案都会生成 MD5 或 SHA256 哈希,并指示检测到该对象的位置的路径。
您可以在
和 中创建的网络威胁数据库中查看有关检测到的恶意对象的详细信息。要执行此操作,请单击卡巴斯基 OpenTIP 和卡巴斯基 TIP 资源的链接。卡巴斯基 OpenTIP 门户上的威胁描述页面公开可用。用户必须输入其账户凭据才能访问卡巴斯基 TIP。
页首镜像的错误配置控制
卡巴斯基容器安全可使用配置文件扫描器检测配置文件中的错误配置。该扫描器可以扫描包含
文件的镜像、文件系统和存储库(例如,Terraform、CloudFormation、Azure ARM 模板、Helm Chart 和 Dockerfile 包)。卡巴斯基容器安全可扫描以下配置文件:
- Kubernetes 对象的配置文件。
- 集群组件的配置文件。
- 镜像的配置文件。
- Amazon 云环境服务的配置文件。
- Azure 云环境服务的配置文件。
- DigitalOcean 云环境的配置文件。
- ApacheCloudStack 云环境的配置文件。
- Terraform GitHub Provider 的配置文件。
- Google 云环境服务的配置文件。
- Nifcloud Provider 的配置文件。
- OpenStack 的配置文件。
- Oracle Compute Cloud 的配置文件。
以下表格列出了卡巴斯基容器安全支持的配置文件的类型和配置文件格式。
配置文件的类型和格式
|
文件类型 |
文件格式 |
|---|---|
|
Kubernetes |
*.yml, *.yaml, *.json |
|
Docker |
Dockerfile,Containerfile |
|
Terraform |
*.tf, *.tf.json, *.tfvars |
|
Terraform Plan |
tfplan, *.tfplan, *.json |
|
CloudFormation |
*.yml, *.yaml, *.json |
|
Azure ARM Template |
*.json |
|
Helm |
*yaml, *.tpl, *.tar.gz |
|
YAML |
*.yaml, *.yml |
|
JSON |
*.json |
关于风险评级
卡巴斯基容器安全软件进行扫描后,会对扫描对象进行风险评级。扫描时,解决方案可能会检测到对象中包含的以下全部或部分安全问题:
- 漏洞
- 恶意软件
- 敏感数据
- 错误配置
根据安全威胁的严重程度,对检测到的每个风险分配以下风险等级之一:
- 可忽略。
- 低。
- 中。
- 高。
- 严重。
如果扫描过程中未检测到安全问题,则该镜像被视为安全并被标记为“正常”。
检测到的漏洞、恶意软件、敏感数据或错误配置的风险等级与用于扫描的安全威胁数据库中指定的等级相对应(例如,NVD 和数据安全威胁数据库)。这些漏洞和威胁数据库使用特殊的评分标准来评估安全威胁的严重程度。例如,NVD 中应用了通用漏洞评分系统 (CVSS)。
在所有已检测到的对象中,该对象的严重程度最高,风险评级也最高。
例如,在对象扫描期间检测到以下安全威胁:
- 严重程度较低的漏洞;
- 严重程度高且至关重要的敏感数据;
- 中等严重程度的配置错误;
- 低严重程度的恶意软件。
此处,如果检测到的威胁的严重程度为最高,则对应的风险等级为严重。
页首风险处理
卡巴斯基容器安全识别的威胁(漏洞、恶意软件、敏感数据和错误配置)受风险接受程序的约束。如果您接受某个威胁的风险,在指定的接受期限内确定镜像安全状态(符合/不符合安全策略)时,保障策略将不会考虑该威胁。镜像扫描会继续检测威胁,但不会将该镜像标记为不合规。
如果您接受在镜像中检测到的漏洞的风险,则对于特定镜像仓库也接受此风险。如果接受镜像中所有漏洞的风险,则该镜像将被视为符合安全策略要求并获得“合规”状态。
如果更改应用于镜像的保障策略设置,镜像安全状态也会随之更改。
默认情况下,接受威胁风险的期限为 30 天。您可以延长将风险视为接受的期限。您也可以随时取消风险接受。如果取消风险接受,关联的威胁将再次影响镜像的安全状态。
您可以在“策略 → 风险接受”部分中查看所有已接受风险的列表。
风险接受
您可以接受该解决方案发现的风险,但需考虑以下几点:
- 如果存在漏洞、配置错误和敏感数据,您可以接受所有严重程度的风险。
- 如果出现恶意软件,您只能接受中等、低和可忽略严重程度级别的风险。
您不能接受严重程度为高和严重的风险。
您可以在以下部分中接受风险:
- 在镜像扫描结果窗口中,可以接受通过扫描特定镜像检测到的与所有威胁类型(漏洞、恶意软件、错误配置和敏感数据)相关的风险。
- 在调查→漏洞部分,接受解决方案检测到的所有漏洞的风险。接受与扫描过程中检测到的所有工件(包括 CI/CD 对象)相关的风险。
要接受风险,就需要有风险管理权限。
要根据镜像扫描结果接受风险:
- 在镜像扫描结果窗口中,打开包含所需威胁类型的信息的选项卡。
- 在表中,选择一个威胁并单击风险接受栏中的接受按钮。
- 在打开的窗口中,指定风险接受参数:
- 选择风险接受程度:
- 对于选定的检测到风险的镜像;
- 对于包含已检测安全威胁的镜像的存储库中的所有镜像;
- 对于已经或将要检测到此安全威胁的所有镜像。
- 请指定一个期限,在此之后当确定镜像安全状态时必须再次考虑该安全风险。
- 指定接受风险的原因。
- 选择风险接受程度:
- 单击“接受”按钮。
选定的威胁在定义的天数(或无限期)内不会影响该特定镜像、存储库中的镜像或所有镜像的安全状态。
可以在“策略 → 风险接受”部分查看已接受的风险。
要接受检测到的漏洞的风险:
- 单击以下部分之一中的漏洞记录 ID:
- 在进行扫描结果窗口的漏洞选项卡上。
- 在调查→漏洞部分中。
- 在打开的侧栏中,转到风险接受选项卡。
如果您有权查看已接受的风险,则“风险接受”选项卡可用。
- 单击添加风险接受按钮。
- 在打开的窗口中,指定风险接受参数:
- 选择风险接受程度:
- 对于选定的工件(镜像或 CI/CD 对象)
- 对于包含检测到漏洞的对象的存储库
- 对于当前检测到此漏洞的工件
- 对于所有工件,包括解决方案在后续扫描中可能发现的工件。
无论范围如何,都承担风险。
- 指定 1 至 999 天的时间段,在此时间段之后将撤销对此漏洞的风险接受。默认情况下,期间为 30 天。
- 指定接受风险的原因。
- 选择风险接受程度:
- 单击“添加”按钮。
漏洞的接受风险显示在风险接受选项卡上。它也可以在策略 → 接受的风险部分中查看。
页首查看有关接受的风险的信息
所有接受的风险的列表显示在“策略 → 风险接受”部分中。
您可以使用该列表执行以下操作:
- 按风险名称、存储库名称、镜像或检测到风险的资源进行搜索。
- 按风险类型和制造商修复可用性对列表进行筛选。
- 单击表格上方的“创建报告”按钮来生成风险接受报告。
- 按接受日期、风险名称、范围(适用于所有镜像或仅一个镜像)和接受期限对列表进行排序。使用 (
) 排序图标进行排序。 - 查看有关风险接受和相关威胁的详细信息。单击风险名称链接可打开包含相关详细信息的窗口。
使用详细信息窗口中的按钮可执行以下操作:
- 请指定或延长考虑此安全威胁的期限,且在此之后需在确定镜像安全状态时再次考虑该安全风险。
- 取消风险接受。
您还可以在镜像扫描结果中的检测到的威胁列表中查看有关接受的风险的信息。在已接受风险的威胁行中,您可以找到接受风险的时间。您还可以单击链接打开一个窗口,其中包含有关风险接受和相关威胁的详细信息。
有关特定漏洞的风险接受的信息也显示在调查→漏洞部分中包含解决方案检测到的所有漏洞列表的表格中。风险接受列显示接受风险的工件(镜像、CI/CD 对象)的数量。
要查看漏洞的已接受风险,您需要“查看已接受风险”的权限。
无论范围如何,都会显示有关已接受风险的信息。
风险接受选项卡上的漏洞详细描述中提供了有关特定漏洞的每个接受风险的更多详细信息。
页首取消风险接受
要取消风险接受:
- 在以下部分之一中,打开包含检测到风险的对象列表的表格:
- 在镜像扫描结果窗口中与风险相对应的选项卡上。
- 在调查→漏洞部分中。
- 选择一个风险,然后单击风险接受栏中的编辑按钮。
编辑按钮仅针对先前接受的风险显示。
- 单击“撤销”按钮并在打开的窗口中确认操作。
您还可以通过单击 风险接受选项选项卡上的 图标从包含漏洞详细信息的窗口撤销对漏洞的风险接受。
取消风险接受意味着相关威胁将再次影响接受了风险的镜像的安全状态。
页首扫描镜像中的 Java 软件包
卡巴斯基容器安全可以扫描注册表镜像中包含的 Java 软件包。为此,该解决方案使用 Java 漏洞数据库。
可以用卡巴斯基容器安全 v1.2.1 及更高版本扫描 Java 软件包。如果您安装了早期版本,则必须将解决方案更新到 v1.2.1. 才能使用此功能。
您可以通过设置 values.yaml 文件中ENABLE_JAVA_VULN环境变量的值来配置 Java 软件包的扫描。如果ENABLE_JAVA_VULN = true,卡巴斯基容器安全将使用 Java 漏洞数据库执行扫描。如果ENABLE_JAVA_VULN = false,则不会扫描 Java 软件包。
默认情况下,ENABLE_JAVA_VULN被设置为false。
从版本 v1.2.1 开始,分发套件中提供的 kcs-updates 组件包含 Java 漏洞数据库。使用此组件时,您应该确保 values.yaml 文件中的环境变量定义如下:
ENABLE_JAVA_VULN = trueKCS_UPDATES_TAG=vХ.Х.Х (版本变量值根据解决方案的版本指定)KCS_UPDATES=true
如果 Java 软件包扫描被激活(ENABLE_JAVA_VULN = true),kcs-scanner 解决方案组件将下载 Java 漏洞数据库并相应地通知 kcs-middleware 和 kcs-ih 组件。然后,kcs-ih 组件从kcs-scanner 接收数据库文件,组装并验证数据库,并在扫描期间使用它。
使用 Java 漏洞数据库发现的漏洞显示在镜像扫描结果中。
卡巴斯基容器安全还可以在使用外部扫描器时在 CI/CD 过程中扫描外部注册表中的镜像中的 Java 软件包。在这种情况下,您必须使用带有 vХ.Х.Х-with-db-java 标签的扫描器,其中包含预安装的 Java 漏洞数据库。所指定扫描器的配置和使用与 vХ.Х.Х-with-db 扫描器类似。
页首