Проверка уязвимостей в кластере
1. Общие сведения
Компонент Scanner в системе безопасности NeuVector (далее - сканер) отвечает за сканирование уязвимостей и проверку соответствия стандартам безопасности образов контейнеров и узлов кластера.
Сканер развернут в Kubernetes в составе системы Neuvector в виде отдельного ресурса Deployment и выполняет следующие функции:
-
Сканирование образов в реестрах: подключается к указанным реестрам образов контейнеров, извлекает список доступных образов и проводит их анализ на наличие уязвимостей. Для повышения производительности и масштабируемости для сканнера поддерживается автоматическое масштабирование количества его реплик, которые могут параллельно сканировать образы в реестрах.
-
Сканирование на этапе сборки: интегрируется с процессами CI/CD, позволяя сканировать образы на наличие уязвимостей еще на этапе сборки, до их размещения в реестре или развертывания в среде выполнения.
-
Сканирование узлов и контейнеров в реальном времени: автоматически сканирует запущенные контейнеры и узлы на наличие уязвимостей и соответствие стандартам безопасности.
2. Источники уязвимостей
Сканер в Neuvector содержит в себе базу данных уязвимостей (CVE), которая использует следующие источники:
-
Общие источники информации об уязвимостях:
-
Банк данных угроз безопасности информации ФСТЭК
-
РЕД ОС
-
NVD (National Vulnerability Database)
-
Mitre
-
-
Операционные системы:
-
РЕД ОС
-
Alpine, Amazon, Debian, Microsoft Mariner, Oracle, Rancher OS, Red Hat, SUSE Linux, Ubuntu
-
-
Приложения и языки программирования:
-
.NET, Apache, BusyBox, GoLang, Java, Maven, Kubernetes, Nginx, npm/Node.js, Python, OpenSSL, Ruby.
-
Актуализация баз уязвимостей выполняется один раз в сутки. По умолчнию в Nova Container Platform для сканнера установлен автоматический перезапуск каждый день в 00:00. При перезапуске загружается новая версия сканера с актуальной базой уязвимостей.
3. Обновление базы уязвимостей
3.1. Обновление при онлайн-установке
Если ваш кластер Nova Container Platform установлен в онлайн-режиме, то для обновления баз уязвимостей (сканера) дополнительные настройки не требуются. Актульная версия сканера будет загружаться ежедневно из публичных репозиториев Nova.
3.2. Обновление при офлайн-установке
Для регулярного обновления сканера в кластерах, установленных без доступа к сети Интернет с использованием Nova Universe вы можете использовать варианты ниже.
3.3. Кеширование образа сканера в корпоративном реестре
Вы можете настроить кеширование публичного репозитория Nova или образа сканера в частности в собственном корпоративном реестре образов и использовать его для обновления. Для настройки следуйте процедуре ниже:
-
Настройте кеширование публичного репозитория Nova или образа сканера. Актуальная версия сканера доступна по ссылке:
hub.nova-platform.io/registry/neuvector/scanner-nova:latest.Для получения токена доступа к публичному репозиторию Nova при офлайн-установке обратитесь в техническую поддержку.
-
Если доступ в корпоративный реестр осуществляется с обязательным использованием учетной записи, подготовьте секрет Kubernetes:
kubectl create secret docker-registry custom-registry-credentials -n nova-neuvector \ --docker-server=<Адрес реестра> \ --docker-username=<Имя пользователя> \ --docker-password=<Пароль или токен> \ --docker-email=<Почтовый адрес пользователя> -
В веб-консоли Nova Container Platform перейдите на вкладку , найдите ресурс Kustomization, перейдите на вкладку Экземпляры, найдите
nova-release-neuvector-main. -
На вкладке YAML добавьте блок
patches:spec: patches: - patch: |- apiVersion: apps/v1 kind: Deployment metadata: name: neuvector-scanner-pod namespace: nova-neuvector spec: template: spec: imagePullSecrets: (1) - name: custom-registry-credentials containers: - name: neuvector-scanner-pod image: "" (2) target: kind: Deployment name: neuvector-scanner-pod namespace: nova-neuvector
| 1 | Блок конфигурации учетной записи для доступа к корпоративному реестру (при необходимости). |
| 2 | Адрес образа в корпоративном реестре с тегом latest. |
3.4. Загрузка образа сканера в корпоративный реестр
Если ваш корпоратинвый реестр не поддерживает кеширование и проксирование запросов, вы можете получить актуальный образ сканера в архиве, обратившись в техническую поддержку. Вы также можете самостоятельно выгрузить актуальный образ сканера вручную, используя утилиты docker, podman и аналогичные, из публичного репозитория Nova. Далее вам необходимо будет самостоятельно загрузить данный образ в ваш реестр образов.
Обратите внимание, что для корректного использования собственного реестра образов в кластере Nova, необходимо добавить соответствующие TLS-
сертификаты в доверенные. Это можно сделать на этапе установке кластера, используя параметр спецификации caTrustBundle . Подробную
информацию можно получить в разделе документации по ссылке.