컨테이너 취약성 대응에 대한 컨테이너 이미지 세분성 키 구성
임포트한 컨테이너 취약성 데이터에서 결과(컨테이너 취약한 항목)가 생성되는 방법과 시기를 결정하는 데 도움이 되도록 결과를 생성하는 컨테이너 취약성 대응 키를 구성할 수 있습니다.
컨테이너 이미지 취약성 키 및 결과 생성 방법 개요
컨테이너 이미지에서 취약성을 검사할 때 세분성 기능은 컨테이너 취약성 대응 애플리케이션에 대해 구성할 수 있는 키를 기반으로 결과(컨테이너 취약한 항목 또는 CVIT)가 생성되는 방식을 제어합니다.
각 타사 컨테이너 취약성 스캐너 통합은 인스턴스의 ServiceNow AI Platform 이미지 취약성 키 구성[sn_vul_container_image_vulnerability_keys] 테이블에 자체 기록이 있습니다. 기본적으로 발견 사항(CVIT)은 스캐너 제품에서 임포트한 이미지 리포지토리, 취약성 및 이미지 데이터를 결합하여 생성됩니다.
키 세분성은 서비스별로 보다 세분화된 수준에서 결과를 보고 할당하는 데 도움이 될 수 있습니다.
필요한 역할: sn_vul_container.configure_vi_granularity
주요 세분성에 사용되는 용어:
- 취약성
-
인스턴스에서 결과(CVIT)를 생성하는 데 사용되는 임포트된 CVE/CWE 일반 취약성 노출, 일반 약점 열거 및 기타 타사 취약성 데이터입니다.
- CVIT
- 기본적으로 키 구성에 이미지, 이미지 리포지토리 및 취약성 데이터를 사용하여 생성되는 컨테이너 취약한 항목(찾기라고도 함)입니다.
- 클러스터
- 컨테이너화된 애플리케이션을 실행하는 머신 또는 작업 노드 그룹에 대해 임포트한 데이터입니다.
- 네임스페이스
- 단일 클러스터 내에서 격리하기 위해 자원의 고유한 이름을 임포트했습니다.
- 서비스
- 컨테이너화된 애플리케이션을 관리하고 배포할 수 있는 애플리케이션 종속성의 컨테이너입니다. 키 세분성 및 구성에 대한 이 컨텍스트에서 다음을 수행합니다.
- ECS(Elastic Container Service) 환경 - 클러스터 및 서비스는 키 구성을 위한 옵션입니다.
- EKS(Elastic Kubernetes Service) 환경 - 네임스페이스, 클러스터 및 서비스는 키 구성을 위한 옵션입니다.
각 제품 키에는 목록에 고유한 기록이 있습니다. ECS 및 EKS 환경에 대한 다음 주요 구성 계층 구조는 다음 위치에 있는 동일한 세분성 구성을 공유합니다. .
키 세분성을 구성하려면 외부 공급업체 통합을 통해 데이터를 임포트하기 전에 변경하고 기록을 업데이트해야 합니다.
AWS ECS(탄력적 컨테이너 서비스)
ECS 환경은 클러스터와 서비스로 구성되며, 하나의 클러스터에는 여러 서비스가 포함될 수 있습니다.
- 클러스터
- 서비스
클러스터 구성 요소를 추가하도록 키 세분성을 설정하면(이미지 취약성 키 VI 세분성 구성 기록에서 클러스터 확인란이 선택됨) 클러스터당 하나의 결과(CVIT)가 생성됩니다. 키에 대해 클러스터 및 서비스 옵션을 선택하면 모든 고유한 클러스터/서비스 조합에 대해 발견 사항(CVIT)이 생성되어 서비스별로 보다 세분화된 수준에서 정정 소유권을 할당할 수 있습니다.
예를 들어 환경에 클러스터 1과 클러스터 2라는 두 개의 클러스터와 서비스 1, 서비스 2, 서비스 3 및 서비스 4의 네 가지 서비스가 있다고 가정해 보겠습니다. 키 선택 항목에서 생성한 CVIT는 다음 표에 나와 있습니다.
클러스터 및 서비스 데이터는 스캐너 페이로드(스캐너 정보) 또는 ServiceNow Discovery(검색 정보)에서 소싱할 수 있습니다. 이 옵션은 키 선택에 따라 CVIT가 생성되는 방식에 영향을 줄 수 있습니다.
| 데이터 소스 | 클러스터 확인란 선택됨 | 서비스 확인란 선택됨 | 생성된 CVIT |
|---|---|---|---|
| 스캐너 정보 | x | 각 클러스터, 클러스터 1 및 클러스터 2에 대해 하나씩 두 개의 CVIT가 생성됩니다. | |
| 스캐너 정보 | x | x | 2개의 클러스터와 4개의 서비스를 지원하기 위해 여러 CVIT(4)가 생성됩니다.
|
| 디스커버리 주: Discovery가 데이터 소스로 선택된 경우 클러스터 및 서비스에 대한 진실의 소스는 스캐너 페이로드가 아니라 ServiceNow Discovery에서 제공됩니다. |
x | 클러스터 3에 대해 하나의 CVIT가 생성됩니다. 검색에서 이 이미지에 대한 클러스터 3만 찾으면 스캐너가 알고 있는 내용에 관계없이 하나의 CVIT만 생성됩니다. |
기본적으로 검색 정보가 선택됩니다. 검색 정보를 키의 데이터 소스로 사용하려는 경우 [이미지 관계 채우기] 예약된 작업이 매일 실행되어 클러스터 및 서비스 상세 정보를 미리 임포트하고, 예약된 작업이 성공적으로 완료된 후 최소 4시간 후에 타사 통합 실행을 시작하도록 예약하여 사전 임포트 데이터를 사용할 수 있도록 해야 합니다. 이 작업은 기본적으로 매일 활성화되지만 예약된 타사 통합 임포트 전에 일정을 설정해야 합니다.
[sn_vul_container.image_relationship_mapping_months] 시스템 속성은 관계 매핑을 처리할 때 외부 공급업체 스캐너 통합이 컨테이너 이미지 업데이트를 검색하는 개월 수(1-12)를 정의합니다. 이 데이터는 [sys_updated_on] 필드로 이미지를 필터링하는 데 사용됩니다.
기본 설정은 3개월(90일)입니다. 이 값을 변경하지 않는 한, 스캐너 통합 임포트를 구성한 후에는 기본적으로 지난 90일 동안 스캔되고 검색된 컨테이너 이미지에 있는 이미지에 대한 관계 매핑이 생성됩니다.
데이터 채우기
ECS가 버전 30.3(USEM)호환 및 v2.18(Core)에서 지원되기 전에는 채워진 데이터에 대한 컨테이너 취약한 항목[sn_vul_container_image_vulnerable_item] 테이블에 두 개의 열 집합이 있었습니다.
- 키 구성에 대해 스캐너 정보 데이터 소스를 선택한 경우 이미지 네임스페이스 및 이미지 클러스터 열이 표시됩니다.
- Kubernetes 네임스페이스, Kubernetes 클러스터 및 Kubernetes 서비스(디 스커버리 정보 데이터 소스가 키 구성에 선택된 경우)
- 클러스터(스캐너), 네임스페이스(스캐너) 및 서비스(스캐너)(키 구성에 대해 스캐너 정보 데이터 소스가 선택된 경우)
- 클러스터(검색), 네임스페이스(검색) 및 서비스(검색 정보 ) 데이터 소스가 키 구성으로 선택된 경우.
검색된 컨테이너 이미지 [sn_vul_container_image] 테이블의 CMDB Docker 컨테이너 이미지 기록에서 스캐너 정보 만 위에 나열된 열 이름으로 직접 채워집니다.
검색된 컨테이너 이미지 기록에서 Docker 이미지 기록을 열어 검색 기반 데이터(클러스터/네임스페이스/서비스)를 볼 수 있습니다. 이 기록에서 검색 정보로 채워진 데이터에 대한 관련 항목/관계 섹션을 봅니다.
AWS EKS(탄력적 Kubernetes 서비스)
이미지 취약성 키 구성 기록에서 EKS 환경의 기본 키에 추가할 수 있는 키는 세 가지입니다.
- 네임스페이스
- 레지스트리
- 서비스
EKS 환경에는 클러스터/네임스페이스/서비스의 세 가지 수준 계층 구조가 있습니다. 세 가지 수준(클러스터 + 네임스페이스 + 서비스)을 모두 선택하면 찾기가 가장 많이 지원되는 세분성으로 생성됩니다. 데이터 소스를 스캐너 정보 또는 검색 정보 로 선택하는 옵션은 EKS에서 지원됩니다.
예를 들어 클러스터 1, 네임스페이스 1, 그리고 서비스 1과 서비스 2라는 두 개의 서비스가 있다고 가정해 보겠습니다. 세 가지 수준을 모두 선택하면 가장 많이 지원되는 세분성에 대해 각 서비스에 대해 하나씩 두 개의 CVIT가 생성됩니다.
반면에 이 예제에서 클러스터 1 및 네임스페이스 1을 선택하면 하나의 네임스페이스에 대해 하나의 CVIT가 생성됩니다.