Container-Image-Scan für Softwareaufgliederung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Die ITOM-TransparenzApps, Muster für Discovery und Service-MappingUnd KubernetesTransparenz-Agent wird in integriert Aqua TrivyDient zum Erfassen von Daten zu Container-Images und BS-Paketen. Sie können Ihre Kontrolle über die Containerbereitstellung erhöhen, indem Sie Transparenz für die Containerkomponenten haben.

    Container-Image-Scan für Software-Aufschlüsselungsdiagramm

    Vorteile des Bildscans

    Durch das Scannen Ihrer Container erhalten Sie Einblick in das Innere KubernetesOder DockerContainer oder BS-Pakete. Das Scannen von Bildern kann Ihnen auf verschiedene Arten helfen.
    • Es hilft Ihnen, Software zu identifizieren, die in Containern für regulatorische und Compliance-Anwendungsfälle installiert ist.
    • Es hilft Ihnen, Unternehmensrichtlinien wie die Verwendung von Golden Images, veralteter Software, obligatorischen Bezeichnungen oder Konfigurationsrichtlinien​einzuhalten.
    • Es hilft Ihnen auch, lizenzierte Software zu verwalten, die in Containern ausgeführt wird​.
    • Sie können den Servicekontext auch abrufen​, indem Sie Tags und Service Mesh verwenden, um ihre Auswirkungen auf Ihre Organisation zu verstehen.

    Anwendungsfälle zum Scannen von Bildern mit ITOM-Transparenz

    Sie können zwei verwenden ITOM-TransparenzApps zum Scannen von Containerbildern, Muster für Discovery und Service-MappingUnd KubernetesSichtbarkeitsagent. Muster ist ein Funktionssatz, der von verwendet wird Discovery, Cloud-Discovery, Und Service-Mapping. KubernetesSichtbarkeitsagent ist eine Funktion von Agent Client Collector. Während KubernetesSichtbarkeitsagent (früher als CNO-V bekannt) ist besser geeignet für KubernetesUnd dynamische containerisierte Arbeitsauslastungen, ist musterbasierte Discovery besser für nicht-Kubernetes geeignet DockerContainer.

    Anwendungsfall Nr. 1
    Sobald eine Anwendung in Container-Images verpackt wurde, kann ein Sicherheitsexperte das Basis-Image sowie das endgültige Image auf Schwachstellen scannen und BS-Pakete, Softwareabhängigkeiten und Anwendungsdatensätze identifizieren. Dies gilt speziell für den containerisierten MSSQL-Server.
    Tabelle : 1. Sichtbarkeitsmethoden für Anwendungsfall Nr. 1
    Sichtbarkeitsmethoden Methodenmerkmale Was erkannt wurde
    Muster für Discovery und Service-MappingUnd Aqua Trivy:
    • Am besten geeignet für selbst gehostet oder Cloud KubernetesBereitstellungen mit Zugriff auf Bearer-Token und Anmeldeinformationen.
    • Unterstützt das Scannen öffentlicher und selbst gehosteter Repository-Bilder.
    • Musterbasierte Discovery ohne Cloud-Discovery:
      • Verwendet ein Bearer-Token.
      • Manuell erstellt KubernetesDiscovery-Zeitplan pro Cluster.
    • Musterbasierte Discovery mit Cloud-Discovery:
      • Kein Bearer-Token erforderlich.
      • Verwendet Cloud-Anmeldeinformationen.
      • Automatische Erstellung von KubernetesDiscovery-Zeitplan.
    • Weitere Informationen zum Scannen von Bildern mit Aqua Trivy, Siehe ../task/container-image-task.html.

    Erkannt mit Muster für Discovery und Service-Mapping:

    • Kubernetes Cluster
    • Kubernetes Services
    • Kubernetes Topologie
    • Docker Container und Images
    • Kubernetes Bereitstellung einschließlich OpenShift
    • Namespace
    • Bezeichnungen und Tags
    • Software in Containern
    • Details zur Account-Region können nur von erkannt werden Cloud-Discovery
    • Docker-Muster erfasst Daten zu bestimmten Objekten in einer Docker-Engine, die auf einem Linux-Host ausgeführt wird
    Weitere Informationen finden Sie unter:
    KubernetesSichtbarkeitsmitarbeiter und Aqua Trivy:
    • Am besten geeignet für die Bereitstellung durch Cloud-native App-Teams.
    • Optionale Fähigkeit zur Überwachung KubernetesMit AIOps.
    • Für Cloud-Umgebungen wird nur AWS ECR (öffentlich und privat) unterstützt.

    KubernetesDie auf Sichtbarkeit basierende Discovery erfordert keine Einrichtung von Anmeldeinformationen und ist nicht erforderlich MID-Server. Zugriff erfolgt über Serviceaccount/ClusterRole. Die Installation erfolgt über das Helmdiagramm oder KubernetesYAML-Datei. Die Discovery wird nahezu in Echtzeit ausgeführt.

    Verwenden KubernetesExplorer zum Herunterladen SBOM.

    Erkannt mit KubernetesSichtbarkeitsagent

    • Kubernetes Namespaces
    • Knoten und Pods
    • Bereitstellungen
    • Statussätze
    • Daemonsets
    • Replikate
    • Aufträge
    • Cronjobs
    • Services
    • Docker Container
    • Docker-Bild
    • Container-Repository
    • Details zur Account-Region können nur von erkannt werden Cloud-Discovery
    Anwendungsfall 2
    Ein Compliance-Beauftragter kann einen generieren  SBOM Um eine detaillierte Liste der Abhängigkeiten des Container-Images zu erhalten und sicherzustellen, dass die Software den Branchenvorschriften entspricht.
    Tabelle : 2. Sichtbarkeitsmethoden für Anwendungsfall 2
    Sichtbarkeitsmethode Methodenmerkmale
    KubernetesMuster oder DockerMuster SBOM Die Erstellung ist Teil des Container-Scans.
    Kubernetes Sichtbarkeitsagent SBOMDie Erstellung ist auch Teil des Container-Scans, Die Verwendung von ACC ist jedoch am besten für Organisationen geeignet, die Flexibilität benötigen, um sowohl eine vollständige Discovery durchzuführen als auch fortlaufende Discovery durchzuführen.
    Anwendungsfall 3

    Ein Ingenieur hat einen Fehler in einem anwenderdefinierten Image gefunden und muss alle finden KubernetesPods, die mit diesem Bild ausgeführt werden.

    Tabelle : 3. Sichtbarkeitsmethoden für Anwendungsfall 3
    Sichtbarkeitsmethode Methodenmerkmale Was erkannt wurde
    Kubernetes Muster Aqua Trivy Container-Scan ist nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren.
    • Kubernetes Cluster
    • Kubernetes Container
    • Kubernetes Services
    • Bezeichnungen
    • Pods
    • Images
    • Tags
    Kubernetes Muster mit Cloud Discovery Aqua Trivy Container-Scan ist nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren. Alle oben genannten und Account- oder Regionsdetails
    Anwendungsfall 4
    Ein Techniker findet einen Fehler in einem anwenderdefinierten Image und muss alle finden DockerContainer (nicht Kubernetes), die mit diesem Image ausgeführt werden.
    Sichtbarkeitsmethode Methodenmerkmale Was erkannt wurde
    Horizontale Discovery der ausgeführten VM Docker( DockerMuster) Aqua Trivy Container-Scan ist nicht erforderlich. Sie können die Pods anhand von Mustern identifizieren. Siehe: Docker Virtualisierung

    Bildscannen mit Muster für Discovery und Service-Mapping

    KubernetesUnd DockerMuster werden in integriert Aqua TrivyFühren Sie geplante Aufgaben aus, um Container-Images und BS-Pakete in festen Intervallen von 10 Bildern pro Minute zu erkennen. Während des Scans gibt das Muster den Scanstatus an. Das Muster erkennt BS-Pakete, die sich auf ein Image beziehen. Dann werden die Image-Befehlsattribute wie die CI-Klasse gefunden. Basierend auf den Befehlsattributen erstellt das Muster Anwendungsdatensätze. Darüber hinaus verwendet das Muster angereicherte Skripts, um den Anwendungsdatensätzen Details hinzuzufügen. Danach ordnet das Muster die Beziehungen zwischen den BS-Paketen und den Containern zu.

    Ein Teil der Daten wird in ausgefüllt CMDBTabellen und ein Teil davon in Transformationstabellen (nicht-CMDB-temporäre Tabellen). Die Transformationstabellen werden mit dem Muster installiert. Die Informationen, die Sie beim Scannen erhalten, umfassen beispielsweise die Ursprungsregistrierung, den Softwarequamen und die Version.