Resposta a vulnerabilidades de contêiner
. ServiceNow® Resposta a vulnerabilidades de contêiner a aplicação importa itens vulneráveis do contêiner (CVITs) e, de acordo com as regras, você pode corrigir vulnerabilidades de contêiner. Os dados de vulnerabilidade são extraídos de fontes internas e externas, como o National Vulnerability Database (NVD) ou integrações de terceiros.
Solicitar aplicativos na Store
Visite ServiceNow Storepara exibir todos os apps disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.
Benefícios
- Integra-se a produtos de segurança de contêiner de terceiros, como Prisma Cloud Compute da Palo Alto Networks.
- Importa dados de vulnerabilidade para as imagens implantadas no tempo de execução e enriquece os dados de vulnerabilidade com informações contextuais do tempo de execução (hosts, clusters do Kubernetes, serviços e namespaces).
- Fornece uma lista das referências criadas a partir de vulnerabilidades para as entidades relevantes do Kubernetes no Configuration Management Database (CMDB) usando ServiceNow Descoberta do Kubernetes.
- Oferece um painel de relatórios abrangente, fornecendo informações sobre as tendências de vulnerabilidade e correção.
Principais recursos
- Aponte para a imagem do Docker de origem dos CVITs em vez de contêineres em execução.
- Configure a granularidade dos CVITs para rastrear na imagem, no cluster do Kubernetes, no namespace ou no nível de serviço.
- Rastreie novas versões de imagem para identificar vulnerabilidades corrigidas. Todas as vulnerabilidades relatadas em versões mais antigas são resolvidas automaticamente em ServiceNow quando novas versões de imagem são implantadas no tempo de execução.
- Rastreie CVITs nas imagens de base separadamente das imagens da aplicação para permitir correção independente.
- Gere solicitações de exceção ou solicitações de falso positivo, que podem ser revisadas por meio de um processo de aprovador multinível.
- Defina regras de exceção para adiar CVITs automaticamente.
Casos de uso
- Contexto de tempo de execução
- As vulnerabilidades em imagens de contêiner podem ser descobertas verificando a imagem nas fases a seguir do ciclo de vida da aplicação.
- Fase 1: Quando as imagens estão sendo criadas no pipeline de IC/CD.
- Fase 2: Quando as imagens são publicadas no registro
- Fase 3: Quando as imagens são implantadas no tempo de execução.
Embora seja importante identificar vulnerabilidades o mais cedo possível nas fases 1 e 2, executar uma verificação nas imagens implantadas em um ambiente de tempo de execução é igualmente importante. Ele oferece os seguintes benefícios:- Identificar todas as novas vulnerabilidades e exposições comuns (CVEs) publicadas.
- Fornecer visibilidade precisa da postura de risco das aplicações implantadas.
- Prioridade de vulnerabilidades que devem ser resolvidas. O contexto de tempo de execução em termos de serviços de aplicações ou serviços de negócios afetados devido a uma vulnerabilidade pode ajudar na priorização.
Resposta a vulnerabilidades de contêiner Integra-se a produtos de segurança de contêiner, como Prisma Cloud Compute de Palo Alto Networks Para extrair os dados de vulnerabilidade dessas imagens implantadas no tempo de execução e enriquecer os dados de vulnerabilidade com as informações contextuais do tempo de execução, como hosts, clusters do Kubernetes, serviços e namespaces em que essas imagens de contêiner são implantadas. Clientes que usam o. ServiceNow A descoberta do Kubernetes pode ver as referências criadas a partir de vulnerabilidades para as entidades relevantes do Kubernetes em suas Configuration Management Database (CMDB). Além de enriquecer os metadados, ServiceNow também oferece um painel de relatórios abrangente para fornecer informações sobre as tendências de vulnerabilidade e correção.
- Identificar a propriedade
- Pré-requisitos
-
Metadados e referências do Kubernetes : Para Resposta a vulnerabilidades de contêiner Para preencher metadados do Kubernetes (namespace, cluster e assim por diante) e referências a Configuration Management Database (CMDB), você deve implementar a descoberta do Kubernetes de Information Technology Operations Management(ITOM). A descoberta do Kubernetes preenche a imagem do Docker, os contêineres do Docker em execução, pods, clusters do Kubernetes e assim por diante no CMDB. Resposta a vulnerabilidades de contêiner Identifica a imagem da janela de encaixe em CMDB Com base no ID da imagem, identifica as entidades relacionadas do Kubernetes e preenche as referências a essas entidades de itens vulneráveis.
- Rótulos de imagem do Docker e metadados da nuvem : Resposta a vulnerabilidades de contêiner Também preenche rótulos de imagem do Docker, IDs de conta de nuvem e regiões em que uma imagem é implantada. Esses dados são mantidos no registro "Imagem do contêiner descoberta" associado ao item vulnerável. Não há pré-requisitos para que estes dados sejam preenchidos. Resposta a vulnerabilidades de contêiner Usa os dados retornados por produtos de segurança de contêiner (por exemplo, Palo Alto Prisma Cloud Compute) para preencher essas entradas.
-
-
A propriedade para corrigir uma vulnerabilidade em uma imagem de contêiner pode variar de organização para organização. Essas informações podem ser capturadas em lugares diferentes. Algumas organizações usam rótulos de imagem do Docker como uma forma de identificar as equipes de aplicações que possuem uma determinada imagem de contêiner, enquanto outras organizações podem usar o namespace do Kubernetes ou a conta de nuvem em que uma imagem de contêiner é implantada para identificar o proprietário certo.
Resposta a vulnerabilidades de contêiner Fornece os elementos do modelo de dados necessários para capturar e usar os rótulos de imagem do Docker, os metadados de cluster/serviço/namespace do Kubernetes ou os metadados da conta de nuvem (ID da conta de nuvem, região, provedor etc.) no módulo "Regras de atribuição" e atribuir automaticamente vulnerabilidades à equipe de aplicação certa com base nos metadados da imagem ou no ambiente de tempo de execução.
- Rastreie vulnerabilidades nas imagens de base
- Pré-requisitos
Para a propriedade "Imagem de base" a ser preenchida Resposta a vulnerabilidades de contêiner, as imagens de base devem ser configuradas explicitamente no Integração de Resposta a vulnerabilidades com Palo Alto Networks Prisma Cloud Compute console. Para obter mais informações sobre como configurar imagens de base no Prisma Cloud, consulte https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin- compute/vulnerability_management/base_images.
Resposta a vulnerabilidades de contêiner permite a criação de registros de vulnerabilidade separados para uma camada de base para que eles possam ser atribuídos a uma equipe diferente.
Rastreie vulnerabilidades identificadas em uma imagem de SO base, como Alpine, a partir das vulnerabilidades detectadas em outras camadas da imagem do contêiner. Muitas organizações têm equipes dedicadas que são responsáveis por corrigir imagens de SO base e disponibilizá-las para todas as equipes de aplicações.
- Defina granularidade para itens vulneráveis
- Pré-requisitos
Para configurar a granularidade dos CVITs, navegue até .
-
Por padrão, um item vulnerável é criado para cada combinação exclusiva de CVE e a versão da imagem do Docker (referência e marcador). No entanto, algumas imagens do Docker podem ser implantadas em mais de um namespace do Kubernetes e cada namespace pode ser de propriedade de diferentes unidades de negócios ou equipes. Cada equipe pode seguir sua própria cadência para implantar novas versões de imagens de contêiner para corrigir vulnerabilidades. Para acomodar este cenário, Resposta a vulnerabilidades de contêiner Permite definir granularidade para itens vulneráveis: Se um item vulnerável deve ser criado para cada namespace/cluster/serviço do Kubernetes, mesmo para cada combinação exclusiva de versão e vulnerabilidade da imagem do Docker.
No exemplo, você pode ver dois itens vulneráveis criados para a mesma combinação de imagem do Docker e CVE. Um para o namespace do Kubernetes "k8s-finservco-loans" e o outro para "k8s-finservco-richandinsurance".
- Identifique os serviços afetados usando a identificação de serviço baseada em marcador
- Pré-requisitos
- Identifique vários serviços em sua aplicação e defina os pares de marcadores/chave-valor que representam esses serviços.
- Implante imagens do Docker e pods do Kubernetes com esses marcadores ou rótulos.
- Descoberta do Kubernetes do ITOM Defina "Serviços baseados em marcador" com os marcadores ou rótulos corretos.
- Implantar a Descoberta do Kubernetes do ITOM
- Defina "Serviços baseados em marcador" com os marcadores corretos ou pares de chave-valor.
- Importar dados de vulnerabilidade para ServiceNow usando Resposta a vulnerabilidades de contêiner
-
O cálculo de risco para itens vulneráveis pode ser feito analisando o IC (imagem do Docker) e a criticidade dos serviços associados em CMDB. No entanto, para facilitar a identificação dos serviços afetados, Resposta a vulnerabilidades de contêiner oferece identificação de serviço baseada em marcador.
Quando pods ou entidades do Kubernetes são publicados com valores de chave ou rótulos correspondentes aos valores de chave definidos em qualquer "Serviço baseado em marcador" em ServiceNow, Resposta a vulnerabilidades de contêiner Estabelece automaticamente o relacionamento entre uma imagem do Docker e o serviço de aplicação afetado e usa a criticidade desse serviço de aplicação no cálculo de risco.
O fluxo é o seguinte:- Resposta a vulnerabilidades de contêiner importa dados de vulnerabilidade do produto de segurança de contêiner.
- Para cada item vulnerável de contêiner, Resposta a vulnerabilidades de contêiner Preenche a imagem da janela de encaixe de CMDB que tem a vulnerabilidade.
- Resposta a vulnerabilidades de contêiner Em seguida, examina os rótulos de imagem do Docker ou os rótulos/valores-chave publicados com pods do Kubernetes em que esta imagem é implantada. Esta imagem está disponível em CMDB Se você tiver a descoberta do Kubernetes em execução.
- Resposta a vulnerabilidades de contêiner Em seguida, pesquisa "Serviços baseados em marcador" em CMDB com os mesmos pares chave-valor correspondentes definidos.
- Resposta a vulnerabilidades de contêiner Usa a "Criticalidade do negócio" do "Serviço baseado em marcador" correspondente (se houver) para calcular o risco de um item vulnerável de contêiner.
- Rastreamento de vulnerabilidades
- Definindo metas de correção
ServiceNow Permite que os gerentes de vulnerabilidades definam "regras de meta de correção" para poder definir acordos de nível de serviço (ANS) para corrigir vulnerabilidades encontradas em imagens de contêiner. A data de meta de correção pode ser definida com base em uma condição/critério nos metadados da imagem ou nas informações de vulnerabilidade. Os responsáveis pela correção recebem comunicação por e-mail sobre as vulnerabilidades que estão se aproximando da data de vencimento.
- Gerenciar exceções
-
As equipes de aplicações ou responsáveis pela correção das vulnerabilidades podem precisar da capacidade de solicitar uma exceção devido aos seguintes motivos.
- Um controle de mitigação já está em vigor
- Risco aceito
- Aguardando janela de manutenção para enviar a correção por push.
ServiceNow permite que os administradores de segurança definam vários níveis de aprovadores para solicitações de exceção. Você também pode definir regras de exceção automática que podem ser usadas para adiar automaticamente vulnerabilidades correspondentes a uma determinada condição.
Novidades
Para saber mais sobre o que há de novo e o que mudou em Austrália, consulte Austrália notas da versão.
Iniciar
- Para obter uma visão geral sobre Operações de segurança em seu ServiceNow AI Platform instância, consulte Noções básicas sobre as operações de segurança .
- Para obter informações sobre todos os Operações de segurança aplicações disponíveis para download no ServiceNow Store, consulte Operações de segurança e a ServiceNow Store .