Contêiner de Resposta a vulnerabilidades
. ServiceNow® Contêiner de Resposta a vulnerabilidades a aplicação importa itens vulneráveis do contêiner (CVITs) e, de acordo com as regras, permite corrigir vulnerabilidades de contêiner. Os dados de vulnerabilidade são extraídos de fontes internas e externas, como o National Vulnerability Database (NVD) ou integrações de terceiros.
Solicitar aplicativos na Store
Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.
Benefícios
- Integra-se a produtos de segurança de contêiner de terceiros, como Prisma Cloud Compute da Palo Alto Networks.
- Importa dados de vulnerabilidade para as imagens implantadas no tempo de execução e enriquece os dados de vulnerabilidade com informações contextuais do tempo de execução (hosts, clusters do Kubernetes, serviços e namespaces).
- Fornece uma lista das referências criadas a partir de vulnerabilidades para as entidades relevantes do Kubernetes no Configuration Management Database (CMDB) usando ServiceNow Descoberta do Kubernetes.
- Oferece um painel de emissão de relatórios abrangente, fornecendo informações sobre as tendências de vulnerabilidade e correção.
Principais recursos
- Aponte para a imagem do Docker de origem dos CVITs em vez de contêineres em execução.
- Configure a granularidade de CVITs para rastrear na imagem, no cluster do Kubernetes, no namespace ou no nível de serviço.
- Rastreie novas versões de imagem para identificar vulnerabilidades corrigidas. Todas as vulnerabilidades relatadas em versões mais antigas são resolvidas automaticamente em ServiceNow quando novas versões de imagem são implantadas no tempo de execução.
- Rastreie CVITs em imagens de base separadamente das imagens da aplicação para permitir correção independente.
- Gere solicitações de exceção ou solicitações falso-positivas, que podem ser revisadas por meio de um processo de aprovador multinível.
- Defina regras de exceção para adiar CVITs automaticamente.
Casos de uso
- Contexto de tempo de execução
- As vulnerabilidades em imagens de contêiner podem ser descobertas verificando a imagem nas fases a seguir do ciclo de vida da aplicação.
- Fase 1: Quando as imagens estão sendo criadas no pipeline de IC/CD.
- Fase 2: Quando as imagens são publicadas no registro
- Fase 3: Quando as imagens são implantadas no tempo de execução.
Embora seja importante identificar vulnerabilidades o mais cedo possível nas fases 1 e 2, executar uma verificação nas imagens implantadas em um ambiente de tempo de execução é igualmente importante. Oferece os seguintes benefícios:- Identificar todas as novas vulnerabilidades e exposições comuns (CVEs) publicadas.
- Fornecer visibilidade precisa da postura de risco das aplicações implantadas.
- Priorização de vulnerabilidades que devem ser resolvidas. O contexto de tempo de execução em termos de serviços de aplicações ou serviços de negócios afetados devido a uma vulnerabilidade pode ajudar na priorização.
Contêiner de Resposta a vulnerabilidades Integra-se a produtos de segurança de contêiner, como Prisma Cloud Compute de Palo Alto Networks Extrair os dados de vulnerabilidade dessas imagens implantadas no tempo de execução e enriquecer os dados de vulnerabilidade com as informações contextuais do tempo de execução, como hosts, clusters do Kubernetes, serviços e namespaces em que essas imagens de contêiner são implantadas. Clientes que usam o. ServiceNow A descoberta do Kubernetes pode ver as referências criadas a partir de vulnerabilidades para as entidades relevantes do Kubernetes em Configuration Management Database (CMDB). Além de enriquecer os metadados, ServiceNow também oferece um painel de emissão de relatórios abrangente para fornecer informações sobre as tendências de vulnerabilidade e correção.
- Identificar a propriedade
- Pré-requisitos
-
Metadados e referências do Kubernetes : Para Contêiner de Resposta a vulnerabilidades Para preencher metadados do Kubernetes (namespace, cluster e assim por diante) e referências a Configuration Management Database (CMDB), você deve implementar a descoberta do Kubernetes de Information Technology Operations Management(ITOM). A descoberta do Kubernetes preenche a imagem do Docker, os contêineres do Docker, os pods, os clusters do Kubernetes e assim por diante no CMDB. Contêiner de Resposta a vulnerabilidades Identifica a imagem do Docker no CMDB Com base no ID da imagem, e identifica as entidades do Kubernetes relacionadas e preenche as referências a essas entidades de itens vulneráveis.
- Metadados de nuvem e rótulos de imagem do Docker : Contêiner de Resposta a vulnerabilidades Também preenche rótulos de imagem do Docker, IDs de conta de nuvem e regiões em que uma imagem é implantada. Esses dados são mantidos no registro "Imagem do contêiner descoberta" associado ao item vulnerável. Esses dados não são pré-requisitos para serem preenchidos. Contêiner de Resposta a vulnerabilidades Usa os dados retornados por produtos de segurança de contêiner (por exemplo, Palo Alto Prisma Cloud Compute) para preencher essas entradas.
-
-
A propriedade para corrigir uma vulnerabilidade em uma imagem de contêiner pode variar de organização para organização. Essas informações podem ser capturadas em lugares diferentes. Algumas organizações usam rótulos de imagem do Docker como uma maneira de identificar as equipes de aplicações que possuem uma determinada imagem de contêiner, enquanto outras organizações podem usar o namespace do Kubernetes ou a conta de nuvem em que uma imagem de contêiner é implantada para identificar o proprietário certo.
Contêiner de Resposta a vulnerabilidades Fornece os elementos de modelo de dados necessários para capturar e usar os rótulos de imagem do Docker, os metadados de cluster/serviço/namespace do Kubernetes ou os metadados da conta de nuvem (ID da conta de nuvem, região, provedor e assim por diante) no módulo "Regras de atribuição" e atribuir automaticamente vulnerabilidades à equipe de aplicação certa com base nos metadados da imagem ou do ambiente de tempo de execução.
- Rastreie vulnerabilidades nas imagens de base
- Pré-requisitos
Para a propriedade "Imagem de base" a ser preenchida em Contêiner de Resposta a vulnerabilidades as imagens de base devem ser configuradas explicitamente no Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute console. Para obter mais informações sobre como configurar imagens de base no Prisma Cloud, consulte https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin- compute/vulnerability_management/base_images.
Contêiner de Resposta a vulnerabilidades permite a criação de registros de vulnerabilidade separados para uma camada de base para que eles possam ser atribuídos a uma equipe diferente.
Rastreie vulnerabilidades identificadas em uma imagem do SO de base, como Alpine, a partir das vulnerabilidades detectadas em outras camadas da imagem do contêiner. Muitas organizações têm equipes dedicadas que são responsáveis por corrigir imagens do SO de base e disponibilizá-las para todas as equipes de aplicações.
- Defina granularidade para itens vulneráveis
- Pré-requisitos
Para configurar a granularidade dos CVITs navegando até .
-
Por padrão, um item vulnerável é criado para cada combinação exclusiva de CVE e a versão da imagem do Docker (referência e marcador). No entanto, algumas imagens do Docker podem ser implantadas em mais de um namespace do Kubernetes e cada namespace pode pertencer a diferentes unidades de negócios ou equipes. Cada equipe pode seguir sua própria cadência para implantar novas versões de imagens de contêiner para corrigir vulnerabilidades. Para acomodar este cenário, Contêiner de Resposta a vulnerabilidades Permite que você defina granularidade para itens vulneráveis: Se um item vulnerável deve ser criado para cada namespace/cluster/serviço do Kubernetes, mesmo para cada combinação exclusiva de versão e vulnerabilidade da imagem do Docker.
No exemplo, você pode ver dois itens vulneráveis criados para a mesma combinação de imagem do Docker e CVE. Um para o namespace do Kubernetes "k8s-finservco-loans" e o outro para "k8s-finservco-wearchandinsurance".
- Identifique os serviços afetados usando a identificação de serviço baseada em marcador
- Pré-requisitos
- Identifique vários serviços em sua aplicação e defina os pares de marcadores/chave-valor que representam esses serviços.
- Implante imagens do Docker e pods do Kubernetes com esses marcadores ou rótulos.
- Descoberta do Kubernetes do ITOM Defina "Serviços baseados em marcador" com os marcadores ou rótulos corretos.
- Implantar a Descoberta do Kubernetes do ITOM
- Defina "Serviços baseados em marcador" com os marcadores corretos ou os pares de chave-valor.
- Importar dados de vulnerabilidade para ServiceNow usando Contêiner de Resposta a vulnerabilidades
-
O cálculo de risco para itens vulneráveis pode ser feito analisando o IC (imagem do Docker) e a criticidade dos serviços associados em CMDB. No entanto, para facilitar a identificação dos serviços afetados, Contêiner de Resposta a vulnerabilidades oferece identificação de serviço baseada em marcador.
Quando os pods ou entidades do Kubernetes são publicados com valores de chave ou rótulos correspondentes aos valores de chave definidos em qualquer "Serviço baseado em marcador" em ServiceNow, Contêiner de Resposta a vulnerabilidades Estabelece automaticamente o relacionamento entre uma imagem do Docker e o serviço de aplicações afetado e usa a criticidade desse serviço de aplicações no cálculo de risco.
O fluxo é o seguinte:- Contêiner de Resposta a vulnerabilidades importa dados de vulnerabilidade do produto de segurança de contêiner.
- Para cada item vulnerável de contêiner, Contêiner de Resposta a vulnerabilidades Preenche a imagem do Docker de CMDB que tem a vulnerabilidade.
- Contêiner de Resposta a vulnerabilidades Em seguida, verifica os rótulos de imagem do Docker ou os rótulos/valores de chave publicados com os pods do Kubernetes em que esta imagem está implantada. Esta imagem está disponível em CMDB Se você tiver a descoberta do Kubernetes em execução.
- Contêiner de Resposta a vulnerabilidades Em seguida, pesquisa "Serviços baseados em marcador" em CMDB com os mesmos pares de chave-valor correspondentes definidos.
- Contêiner de Resposta a vulnerabilidades Usa a "Criticalidade comercial" do "Serviço baseado em marcador" correspondente (se houver) para calcular o risco de um item vulnerável de contêiner.
- Rastreamento de vulnerabilidades
- Definir metas de correção
ServiceNow Permite que os gerentes de vulnerabilidades definam "regras de destino de correção" para poder definir acordos de nível de serviço (ANS) para corrigir vulnerabilidades encontradas em imagens de contêiner. A data de destino de correção pode ser definida com base em uma condição/critério nos metadados da imagem ou nas informações de vulnerabilidade. Os responsáveis pela correção recebem comunicação por e-mail sobre as vulnerabilidades que estão se aproximando da data de vencimento.
- Gerenciar exceções
-
As equipes de aplicações ou responsáveis pela correção das vulnerabilidades podem precisar da capacidade de solicitar uma exceção devido aos seguintes motivos.
- Um controle de mitigação já está em vigor
- Risco aceito
- Aguardando janela de manutenção para enviar a correção por push.
ServiceNow permite que os administradores de segurança definam vários níveis de aprovadores para solicitações de exceção. Você também pode definir regras de exceção automática que podem ser usadas para adiar automaticamente vulnerabilidades correspondentes a uma determinada condição.
Novidades
Para saber mais sobre o que há de novo e o que mudou em Zurich, consulte Zurich notas da versão.
Iniciar
- Para obter uma visão geral sobre Operações de segurança em seu ServiceNow AI Platform instância, consulte Noções básicas sobre Operações de segurança .
- Para obter informações sobre todos os Operações de segurança aplicações disponíveis para download no ServiceNow Store, consulte Operações de segurança e ServiceNow Store .