ソフトウェア分解のためのコンテナイメージのスキャン
ITOM ヴィジビリティアプリ、ディスカバリーとサービスマッピングパターン、および Kubernetes ヴィジビリティエージェントは Aqua Trivy と統合され、コンテナイメージと OS パッケージに関するデータを収集します。コンテナコンポーネントを可視化することで、コンテナ展開の制御を強化できます。
画像スキャンの利点
- 規制およびコンプライアンスのユースケースでコンテナにインストールされているソフトウェアを特定するのに役立ちます。
- これは、ゴールデンイメージ、古いソフトウェア、必須ラベル、構成ポリシーの使用など、会社のポリシーを遵守するのに役立ちます。
- また、コンテナで実行されているライセンス済みソフトウェアを管理するのにも役立ちます。
- タグやサービスメッシュを使用してサービスコンテキストを取得し、組織への影響を把握することもできます。
を使用した画像スキャンのユースケース ITOM ヴィジビリティ
コンテナイメージをスキャンするには、ディスカバリーとサービスマッピングパターン と Kubernetes ヴィジビリティエージェントの 2 つのITOM ヴィジビリティアプリを使用できます。パターンは、 ディスカバリー、 クラウドディスカバリー、および サービスマッピングで使用される機能セットです。Kubernetes ヴィジビリティエージェントは エージェントクライアントコレクター の機能です。Kubernetesヴィジビリティエージェント (旧称 CNO-V) はKubernetes動的コンテナ化されたワークロードに適していますが、パターンベースディスカバリーは非 Kubernetes の Docker コンテナに適しています。
- ユースケース # 1
- アプリケーションがコンテナイメージにパッケージ化されると、セキュリティ担当者は基本イメージと最終イメージをスキャンして脆弱性を検出し、OS パッケージ、ソフトウェアの依存関係、およびアプリケーションレコードを特定できます。これは、コンテナ化されたMSSQL Server専用です。
| 可視化の方法 | メソッドの特性 | 検出された内容 |
|---|---|---|
|
ディスカバリーとサービスマッピングパターン および Aqua Trivy:
|
|
ディスカバリーとサービスマッピングパターンを使用して検出:
詳細については、以下を参照してください。
|
Kubernetes ヴィジビリティエージェントと Aqua Trivy:
|
Kubernetes ヴィジビリティエージェントベースのディスカバリーでは、認証情報を設定する必要はなく、 MID サーバーも必要ありません。アクセスは ServiceAccount/ClusterRole を介して行います。インストールは、Helm チャートまたは Kubernetes YAML ファイルを介して行います。ディスカバリーはほぼリアルタイムで実行されます。 Kubernetesエクスプローラーを使用してSBOMをダウンロードします。 |
Kubernetesヴィジビリティエージェントを使用して検出
|
- ユースケース #2
- コンプライアンス責任者は、 SBOMを生成して、コンテナーイメージの依存関係の詳細なリストを取得し、ソフトウェアが業界の規制に準拠していることを確認できます。
| 可視化方法 | メソッドの特性 |
|---|---|
| Kubernetes パターンまたは Docker パターン | SBOM 作成はコンテナスキャンの一部です。 |
| Kubernetes ヴィジビリティエージェント | SBOM 作成もコンテナスキャンの一部ですが、 ACC の使用は、完全ディスカバリーと継続的ディスカバリーの両方を柔軟に実行する必要がある組織に最適です。 |
- ユースケース #3
-
エンジニアがカスタムビルドイメージに欠陥を見つけたため Kubernetes そのイメージを使用して実行されているすべてのポッドを見つける必要があります。
| 可視化方法 | メソッドの特性 | 検出された内容 |
|---|---|---|
| Kubernetesのパータン | Aqua Trivy コンテナスキャンは必要ありません。パターンを使用してポッドを識別できます。 |
|
| Kubernetes クラウドディスカバリーを使用したパターン | Aqua Trivy コンテナスキャンは必要ありません。パターンを使用してポッドを識別できます。 | 上記のすべてとアカウントまたはリージョンの詳細 |
- ユースケース #4
- エンジニアは、カスタムビルドイメージの欠陥を検出し、そのイメージを使用して実行されているすべての Docker コンテナー (非 Kubernetes) を見つける必要があります。
| 可視化方法 | メソッドの特性 | 検出された内容 |
|---|---|---|
| Dockerを実行している VM の水平ディスカバリー (Dockerパターン) | Aqua Trivy コンテナスキャンは必要ありません。パターンを使用してポッドを識別できます。 | 見る: Docker の仮想化 |
による画像スキャン ディスカバリーとサービスマッピングパターン
Kubernetes と Docker パターンは Aqua Trivy ツールと統合され、スケジュール済みジョブを実行して、1 分あたり 10 イメージの固定間隔でコンテナイメージと OS パッケージを検出します。スキャン中、パターンはスキャンステータスを示します。パターンでは、イメージに関連する OS パッケージを検出します。次に、CI クラスなどのイメージコマンド属性を検索します。コマンド属性に基づいて、パターンはアプリケーションレコードを作成します。さらに、パターンでは拡張スクリプトを使用してアプリケーションレコードに詳細を追加します。その後、パターンは OS パッケージとコンテナーの関係をマッピングします。
データの一部は CMDB テーブルに入力され、一部は変換テーブル (非 CMDB 一時テーブル) に入力されます。変換テーブルはパターンとともにインストールされます。たとえば、スキャンによって取得される情報には、元のレジストリ、ソフトウェア名、バージョンが含まれます。