Contêiner de Resposta a vulnerabilidades
. ServiceNow® Contêiner de Resposta a vulnerabilidadesa aplicação importa itens vulneráveis do contêiner (CVITs) e, de acordo com as regras, você pode corrigir vulnerabilidades de contêiner. Os dados de vulnerabilidade são extraídos de fontes internas e externas, como o banco de dados nacional de vulnerabilidades (NVD) ou integrações de terceiros.
Solicitar aplicativos na Store
Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.
Benefícios
- Integra-se a produtos de segurança de contêiner de terceiros, como o Prisma Cloud Compute da Palo Alto Networks.
- Importa dados de vulnerabilidade para as imagens implantadas no tempo de execução e enriquece os dados de vulnerabilidade com informações contextuais do tempo de execução (hosts, clusters do Kubernetes, serviços e namespaces).
- Fornece uma lista das referências criadas a partir de vulnerabilidades para as entidades relevantes do Kubernetes no Configuration Management Database (CMDB)usando ServiceNowKubernetes.
- Oferece um painel de relatórios abrangente, fornecendo informações sobre as tendências de vulnerabilidade e correção.
Principais recursos
- Aponte para a imagem do Docker de origem dos CVITs em vez de contêineres em execução.
- Configure a granularidade dos CVITs para rastrear na imagem, no cluster do Kubernetes, no namespace ou no nível de serviço.
- Rastreie novas versões de imagem para identificar vulnerabilidades corrigidas. Todas as vulnerabilidades relatadas em versões mais antigas são resolvidas automaticamente em ServiceNowquando novas versões de imagem são implantadas no tempo de execução.
- Rastreie CVITs nas imagens base separadamente das imagens da aplicação para permitir correção independente.
- Gere solicitações de exceção ou solicitações de falso-positivo, que podem ser revisadas por meio de um processo de aprovador multinível.
- Defina regras de exceção para adiar CVITs automaticamente.
Casos de uso
- Contexto de tempo de execução
- As vulnerabilidades em imagens de contêiner podem ser descobertas verificando a imagem nas fases a seguir do ciclo de vida da aplicação.
- Fase 1: Quando as imagens estão sendo criadas no pipeline de IC/CD.
- Fase 2: Quando as imagens são publicadas no registro
- Fase 3: Quando as imagens são implantadas no tempo de execução.
Embora seja importante identificar vulnerabilidades o mais cedo possível nas fases 1 e 2, executar uma verificação nas imagens implantadas em um ambiente de tempo de execução é igualmente importante. Ele oferece os seguintes benefícios:- Identificar todas as novas vulnerabilidades e exposições comuns (CVEs) publicadas.
- Fornecer visibilidade precisa da postura de risco das aplicações implantadas.
- Priorização de vulnerabilidades que devem ser resolvidas. O contexto de tempo de execução em termos de serviços de aplicações ou serviços de negócios afetados devido a uma vulnerabilidade pode ajudar na priorização.
Contêiner de Resposta a vulnerabilidadesIntegra-se a produtos de segurança de contêiner, como o Prisma Cloud Compute de Palo Alto NetworksPara extrair os dados de vulnerabilidade das imagens implantadas no tempo de execução e enriquecer os dados de vulnerabilidade com as informações contextuais do tempo de execução, como hosts, clusters do Kubernetes, serviços e namespaces em que essas imagens de contêiner são implantadas. Clientes que usam o. ServiceNowA descoberta do Kubernetes pode ver as referências criadas a partir de vulnerabilidades para as entidades relevantes do Kubernetes em suas Configuration Management Database (CMDB). Além de enriquecer os metadados, ServiceNowtambém oferece um painel de relatórios abrangente para fornecer informações sobre as tendências de vulnerabilidade e correção.
- Identificar a propriedade
- Pré-requisitos
-
Metadados e referências do Kubernetes : Para Contêiner de Resposta a vulnerabilidadesPara preencher metadados do Kubernetes (namespace, cluster e assim por diante) e referências a Configuration Management Database (CMDB), você deve implementar a descoberta do Kubernetes de Information Technology Operations Management(ITOM). A descoberta do Kubernetes preenche a imagem do Docker, os contêineres do Docker, pods, clusters do Kubernetes e assim por diante no CMDB. Contêiner de Resposta a vulnerabilidadesIdentifica a imagem da janela de encaixe em CMDBCom base no ID da imagem, identifica as entidades relacionadas do Kubernetes e preenche as referências a essas entidades de itens vulneráveis.
- Rótulos de imagem do Docker e metadados da nuvem : Contêiner de Resposta a vulnerabilidadesTambém preenche rótulos de imagem do Docker, IDs de conta de nuvem e regiões em que uma imagem é implantada. Esses dados são mantidos no registro "Imagem do contêiner descoberta" associado ao item vulnerável. Não há pré-requisitos para que estes dados sejam preenchidos. Contêiner de Resposta a vulnerabilidadesUsa os dados retornados por produtos de segurança de contêiner (por exemplo, Computação em nuvem Prisma da Palo Alto) para preencher essas entradas.
-
-
A propriedade para corrigir uma vulnerabilidade em uma imagem de contêiner pode variar de organização para organização. Essas informações podem ser capturadas em lugares diferentes. Algumas organizações usam rótulos de imagem do Docker como uma forma de identificar as equipes de aplicações que possuem uma determinada imagem de contêiner, enquanto outras organizações podem usar o namespace do Kubernetes ou a conta de nuvem em que uma imagem de contêiner é implantada para identificar o proprietário correto.
Contêiner de Resposta a vulnerabilidades Fornece os elementos do modelo de dados necessários para capturar e usar os rótulos de imagem do Docker, os metadados de cluster/serviço/namespace do Kubernetes ou os metadados da conta de nuvem (ID da conta de nuvem, região, provedor etc.) no módulo "Regras de atribuição" e atribuir automaticamente vulnerabilidades à equipe de aplicação certa com base nos metadados da imagem ou no ambiente de tempo de execução.
- Rastreie vulnerabilidades nas imagens de base
- Pré-requisitos
Para a propriedade "Imagem de base" a ser preenchida em Contêiner de Resposta a vulnerabilidades, as imagens de base devem ser configuradas explicitamente no Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Computeconsole. Para obter mais informações sobre como configurar imagens de base no Prisma Cloud, consulte https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin- compute/vulnerability_management/base_images.
Contêiner de Resposta a vulnerabilidades permite a criação de registros de vulnerabilidade separados para uma camada de base para que eles possam ser atribuídos a uma equipe diferente.
Rastreie vulnerabilidades identificadas em uma imagem de SO base, como Alpine, a partir das vulnerabilidades detectadas em outras camadas da imagem do contêiner. Muitas organizações têm equipes dedicadas que são responsáveis por corrigir imagens de SO base e disponibilizá-las para todas as equipes de aplicações.
- Defina granularidade para itens vulneráveis
- Pré-requisitos
Para configurar a granularidade de CVITs, navegue até .
-
Por padrão, um item vulnerável é criado para cada combinação exclusiva de CVE e a versão da imagem do Docker (referência e marcador). No entanto, algumas imagens do Docker podem ser implantadas em mais de um namespace do Kubernetes e cada namespace pode pertencer a diferentes unidades de negócios ou equipes. Cada equipe pode seguir sua própria cadência para implantar novas versões de imagens de contêiner para corrigir vulnerabilidades. Para acomodar este cenário, Contêiner de Resposta a vulnerabilidadesPermite definir granularidade para itens vulneráveis: Se um item vulnerável deve ser criado para cada namespace/cluster/serviço do Kubernetes, mesmo para cada combinação exclusiva de versão e vulnerabilidade da imagem do Docker.
No exemplo, você pode ver dois itens vulneráveis criados para a mesma combinação de imagem do Docker e CVE. Um para o namespace do Kubernetes "k8s-finservco-loans" e o outro para "k8s-finservco-richandinsurance".
- Identifique os serviços afetados usando a identificação de serviço baseada em marcador
- Pré-requisitos
- Identifique vários serviços em sua aplicação e defina os pares de marcadores/chave-valor que representam esses serviços.
- Implante imagens do Docker e pods do Kubernetes com esses marcadores ou rótulos.
- Descoberta do Kubernetes do ITOM Defina "Serviços baseados em marcador" com os marcadores ou rótulos corretos.
- Implantar a Descoberta do Kubernetes do ITOM
- Defina "Serviços baseados em marcador" com os marcadores corretos ou pares de chave-valor.
- Importar dados de vulnerabilidade para ServiceNowusando Contêiner de Resposta a vulnerabilidades
-
O cálculo de risco para itens vulneráveis pode ser feito analisando o IC (imagem do Docker) e a criticidade dos serviços associados em CMDB. No entanto, para facilitar a identificação dos serviços afetados, Contêiner de Resposta a vulnerabilidadesoferece identificação de serviço baseada em marcador.
Quando os pods ou entidades do Kubernetes são publicados com valores de chave ou rótulos correspondentes aos valores de chave definidos em qualquer "Serviço baseado em marcador" em ServiceNow, Contêiner de Resposta a vulnerabilidadesEstabelece automaticamente o relacionamento entre uma imagem do Docker e o serviço de aplicação afetado e usa a criticidade desse serviço de aplicação no cálculo de risco.
O fluxo é o seguinte:- Contêiner de Resposta a vulnerabilidades importa dados de vulnerabilidade do produto de segurança de contêiner.
- Para cada item vulnerável de contêiner, Contêiner de Resposta a vulnerabilidadesPreenche a imagem do Docker de CMDBque tem a vulnerabilidade.
- Contêiner de Resposta a vulnerabilidades Em seguida, examina os rótulos de imagem do Docker ou os rótulos/valores-chave publicados com pods do Kubernetes em que esta imagem é implantada. Esta imagem está disponível em CMDBSe você tiver a descoberta do Kubernetes em execução.
- Contêiner de Resposta a vulnerabilidadesEm seguida, pesquisa "Serviços baseados em marcador" em CMDBcom os mesmos pares de chave-valor correspondentes definidos.
- Contêiner de Resposta a vulnerabilidades Usa a "Criticalidade do negócio" do "Serviço baseado em marcador" correspondente (se houver) para calcular o risco de um item vulnerável de contêiner.
- Rastreamento de vulnerabilidades
- Definindo metas de correção
ServiceNow Permite que os gerentes de vulnerabilidades definam "regras de meta de correção" para poder definir acordos de nível de serviço (ANS) para corrigir vulnerabilidades encontradas em imagens de contêiner. A data de meta de correção pode ser definida com base em uma condição/critério nos metadados de imagem ou informações de vulnerabilidade. Os responsáveis pela correção recebem comunicação por e-mail sobre as vulnerabilidades que estão se aproximando da data de vencimento.
- Gerenciar exceções
-
As equipes de aplicações ou responsáveis pela correção das vulnerabilidades podem precisar da capacidade de solicitar uma exceção devido aos seguintes motivos.
- Um controle de mitigação já está em vigor
- Risco aceito
- Aguardando janela de manutenção para enviar a correção por push.
ServiceNow permite que os administradores de segurança definam vários níveis de aprovadores para solicitações de exceção. Você também pode definir regras de exceção automática que podem ser usadas para adiar automaticamente vulnerabilidades correspondentes a uma determinada condição.
Novidades
Para saber mais sobre o que há de novo e o que mudou em Yokohama, consulte Yokohamanotas da versão.
Iniciar
- Para obter uma visão geral sobre Operações de segurançaem seu Now Platforminstância, consulte Noções básicas sobre as operações de segurança .
- Para obter informações sobre todos os Operações de segurançaaplicações disponíveis para download no ServiceNow Store, consulte Operações de segurança e a ServiceNow Store .