Verificação de imagem do contêiner para decomposição de software

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • . Visibilidade do ITOMapps, Padrões de descoberta e mapeamento de serviçose. KubernetesO agente de visibilidade integra com Aqua TrivyPara coletar dados em imagens de contêiner e pacotes de SO. Você pode aumentar seu controle sobre a implantação de contêiner tendo visibilidade dos componentes do contêiner.

    Verificação de imagem do contêiner para diagrama de decomposição de software

    Benefícios da verificação de imagens

    A verificação de seus contêineres oferece visibilidade do que está dentro Kubernetesou DockerPacotes de SO ou contêineres. A digitalização de imagens pode ajudá-lo de várias maneiras.
    • Ele ajuda a identificar software instalado em contêineres para casos de uso regulatórios e de conformidade.
    • Ele ajuda você a aderir às políticas da empresa, como o uso de imagens douradas, software desatualizado, rótulos obrigatórios ou políticas de configuração​.
    • Ele também ajuda você a gerenciar software licenciado em execução em contêineres​.
    • Você também pode obter o contexto de serviço​usando marcadores e service mesh para entender o impacto deles em sua organização.

    Casos de uso de verificação de imagem com Visibilidade do ITOM

    Você pode usar dois Visibilidade do ITOMapps para verificar imagens de contêiner, Padrões de descoberta e mapeamento de serviçose. KubernetesAgente de visibilidade. Padrões é um conjunto de recursos usado por Descoberta, Descoberta na nuveme. Mapeamento de serviços. KubernetesO agente de visibilidade é um recurso do Agent Client Collector. Enquanto KubernetesO agente de visibilidade (anteriormente conhecido como CNO-V) é mais adequado para KubernetesE cargas de trabalho dinâmicas em contêiner, a descoberta baseada em padrões é mais adequada para não Kubernetes Dockercontêineres.

    Caso de uso nº 1
    Depois que uma aplicação é empacotada em imagens de contêiner, um profissional de segurança pode verificar a imagem de base, bem como a imagem final, em busca de vulnerabilidades e identificar pacotes de SO, dependências de software e registros de aplicações. Isso é especificamente para o MSSQL Server em contêiner.
    Tabela 1. Métodos de visibilidade para o caso de uso nº 1
    Métodos de visibilidade Caraterísticas do método O que foi descoberto
    Padrões de descoberta e mapeamento de serviçose. Aqua Trivy:
    • Mais adequado para auto-hospedado ou na nuvem Kubernetesimplantações com acesso a tokens e credenciais do portador.
    • Compatível com verificação de imagem de repositório público e auto-hospedado.
    • Descoberta baseada em padrões sem descoberta em nuvem:
      • Usa um token do portador.
      • Criado manualmente Kubernetescronograma de descoberta por cluster.
    • Descoberta baseada em padrões com a Descoberta na nuvem:
      • Nenhum token de portador necessário.
      • Usa credenciais de nuvem.
      • Criação automática de Kubernetesprogramação de descoberta.
    • Para obter mais informações sobre como digitalizar imagens usando Aqua Trivy, consulte ../task/container-image-task.html.

    Descoberto usando Padrões de descoberta e mapeamento de serviços:

    • Kubernetes clusters
    • Kubernetes Serviços
    • Kubernetes topologia
    • Docker contêineres e imagens
    • Kubernetes Implantação, incluindo OpenShift
    • Namespace
    • Rótulos e marcadores
    • Software em contêineres
    • Os detalhes da região da conta só podem ser descobertos por Descoberta na nuvem
    • O padrão Docker coleta dados sobre objetos específicos em um mecanismo Docker, executado em um host Linux
    Para obter mais informações, consulte:
    KubernetesAgente de visibilidade e. Aqua Trivy:
    • Mais adequado para implantação por equipes de aplicações nativas na nuvem.
    • Capacidade opcional de monitorar KubernetesCom AIOps.
    • Para ambientes de nuvem, somente AWS ECR (público e privado) é compatível.

    KubernetesA descoberta baseada em agente de visibilidade não requer configuração de credenciais e não é necessária MID Server. O acesso é por ServiceAccount/ClusterRole. A instalação é via Helm Chart ou KubernetesArquivo YAML. A descoberta é executada quase em tempo real.

    Uso KubernetesExplorador para baixar SBOM.

    Descoberto usando KubernetesAgente de visibilidade

    • Kubernetes Namespaces
    • Nós e pods
    • Implantações
    • Statefulsets
    • Demonsets
    • Replicados
    • Trabalhos
    • Cronjobs
    • Serviços
    • Docker contêiner
    • Imagem de Docker
    • Repositório de contêiner
    • Os detalhes da região da conta só podem ser descobertos por Descoberta na nuvem
    Caso de uso nº 2
    Um diretor de conformidade pode gerar um  SBOM para obter uma lista detalhada das dependências da imagem do contêiner e garantir que o software esteja em conformidade com as regulamentações do setor.
    Tabela 2. Métodos de visibilidade para o caso de uso nº 2
    Método de visibilidade Caraterísticas do método
    Kubernetespadrão ou Dockerpadrão SBOM a criação faz parte da verificação de contêiner.
    Kubernetes Agente de visibilidade SBOMa criação também faz parte da verificação de contêiner, Mas usar o ACC é mais adequado para organizações que precisam de flexibilidade para executar descobertas completas e contínuas.
    Caso de uso nº 3

    Um engenheiro encontrou um defeito em uma imagem personalizada e precisa encontrar tudo Kubernetespods que estão sendo executados usando essa imagem.

    Tabela 3. Métodos de visibilidade para o caso de uso nº 3
    Método de visibilidade Caraterísticas do método O que foi descoberto
    Kubernetes padrão Aqua Trivy a verificação de contêiner não é necessária. Você pode identificar os pods usando padrões.
    • Kubernetes Clusters
    • Kubernetes Contêineres
    • Kubernetes Serviços
    • Rótulos
    • Pods
    • Imagens
    • Marcadores
    Kubernetes Padrão com descoberta em nuvem Aqua Trivy a verificação de contêiner não é necessária. Você pode identificar os pods usando padrões. Todos os detalhes acima e da conta ou região
    Caso de uso nº 4
    Um engenheiro encontra um defeito em uma imagem personalizada e precisa encontrar tudo Dockercontêineres (não Kubernetes) que estão sendo executados usando essa imagem.
    Método de visibilidade Caraterísticas do método O que foi descoberto
    Descoberta horizontal da VM em execução Docker( Dockerpadrão) Aqua Trivy a verificação de contêiner não é necessária. Você pode identificar os pods usando padrões. Consulte: Docker virtualização

    Verificação de imagem com Padrões de descoberta e mapeamento de serviços

    Kubernetese. Dockeros padrões se integram ao Aqua TrivyE execute trabalhos agendados para descobrir imagens de contêiner e pacotes de SO em intervalos fixos de 10 imagens por minuto. Durante a verificação, o padrão indica o status da verificação. O padrão descobre pacotes de SO relacionados a uma imagem. Em seguida, ele encontra os atributos do comando de imagem, como a classe de IC. Com base nos atributos de comando, o padrão cria registros da aplicação. Além disso, o padrão usa scripts aprimorados para adicionar detalhes aos registros da aplicação. Depois disso, o padrão mapeia as relações entre os pacotes do SO e os contêineres.

    Parte dos dados é preenchida em CMDBTabelas e parte dele em tabelas de transformação (tabelas temporárias não CMDB). As tabelas de transformação são instaladas com o padrão. Por exemplo, as informações que você obtém ao verificar incluem o registro de origem, o nome do software e a versão.