Gestion des vulnérabilités

Gestion des vulnérabilités avec SUSE® Security

SUSE® Security permet un scan et une gestion automatisés des vulnérabilités tout au long du pipeline. Les meilleures pratiques pour gérer les vulnérabilités dans SUSE® Security incluent :

  • Scanner pendant la phase de construction, échouant la construction s’il y a des vulnérabilités critiques 'avec correctif disponible.' Cela oblige les développeurs à traiter les vulnérabilités corrigibles avant de les stocker dans les registres.

  • Scanner en continu les registres de staging et de production pour rechercher de nouvelles vulnérabilités découvertes. Les vulnérabilités avec correctifs disponibles doivent être corrigées immédiatement, ou une période bonus peut être accordée pour leur remédiation.

  • Configurer les règles de Contrôle d’Admission pour bloquer les déploiements en production en fonction de critères tels que critique/élevé, correction disponible et date de signalement.

  • Scanner en continu les nœuds/hôtes de production, les conteneurs et la plateforme d’orchestration pour les vulnérabilités nouvellement découvertes. Mettre en œuvre des réponses basées sur la criticité/sévérité qui peuvent être des alertes webhook (contactant la sécurité et les développeurs), mettre en quarantaine le conteneur, ou commencer une période bonus pour la remédiation.

  • S’assurer que les conteneurs en cours d’exécution sont en mode Monitor ou Protect avec des règles de liste blanche appropriées pour 'patcher virtuellement' les vulnérabilités afin d’empêcher toute exploitation en production.

  • Scanner les images basées sur distroless et PhotonOS.

Le tableau de bord dans SUSE® Security présente un score de risque résumé qui inclut les vulnérabilités, qui peut être utilisé pour réduire le risque lié aux vulnérabilités. Voir comment améliorer le score de risque pour plus de détails.

L’autre outil principal pour examiner, filtrer et rapporter sur les vulnérabilités se trouve dans le menu Risques de Sécurité.

Menu Risques de Sécurité - Vulnérabilités

Ce menu combine les résultats des scans de vulnérabilités et des vérifications de conformité des registres (images), des nœuds et des conteneurs trouvés dans le menu Actifs pour permettre une gestion et un reporting des vulnérabilités de bout en bout.

Le menu des vulnérabilités fournit un outil d’exploration puissant pour :

  • Faciliter le filtrage pour visualiser ou télécharger des rapports, en saisissant une chaîne de recherche ou en utilisant le filtre avancé à côté de la boîte. Le filtre avancé permet aux utilisateurs de filtrer les vulnérabilités par correctif disponible (ou non disponible), urgence, charges de travail, service, conteneur, nœuds ou noms d’espace de noms.

  • Comprendre l’impact des vulnérabilités et des vérifications de conformité en cliquant sur la ligne d’impact et en examinant les remédiations et les images, nœuds ou conteneurs impactés.

  • Voir l’état de protection (risque d’exploitation) de toute vulnérabilité ou problème de conformité pour vérifier s’il existe SUSE® Security protections de sécurité en temps réel (règles) activées pour les nœuds ou conteneurs impactés.

  • 'Accepter' une vulnérabilité/CVE après qu’elle a été examinée pour la cacher des vues et la supprimer des rapports.

SecurityRisks

Utilisez la boîte de filtre pour entrer une correspondance de chaîne, ou utilisez le filtre avancé à côté pour sélectionner des critères plus spécifiques, comme indiqué ci-dessous. Les rapports PDF et CSV téléchargés afficheront uniquement les résultats filtrés.

AdvancedFilter

Sélectionner toute CVE répertoriée fournit des détails supplémentaires sur la CVE, la remédiation et les images, nœuds ou conteneurs qui sont impactés. L’icône d’état de protection (cercle) montre différentes couleurs pour indiquer un pourcentage approximatif des éléments impactés qui ne sont pas protégés par SUSE® Security pendant l’exécution, protégés par SUSE® Security règles (en mode Monitor ou Protect), ou non affectés en temps réel (par exemple, une image scannée avec cette vulnérabilité n’a pas de conteneurs en cours d’exécution). Le schéma de couleurs de la colonne d’état de protection est :

  • Noir = non affecté

  • Vert = protégé par SUSE® Security en mode Monitor ou Protect

  • Rouge = non protégé par SUSE® Security, toujours en mode Discover

Le schéma de couleurs de la fenêtre d’analyse d’impact (montrant les images, nœuds, conteneurs affectés) est :

  • Noir = non affecté. Il n’y a pas de conteneurs utilisant cette image en production

  • Violet = en cours d’exécution en mode Monitor en production

  • Vert foncé = en cours d’exécution en mode Protect en production

  • Bleu clair = en cours d’exécution en mode Discover en production (non protégé)

Les couleurs d’Impact sont destinées à correspondre aux couleurs de protection en temps réel pour les modes Découverte, Surveillance et Protection dans d’autres endroits de la console SUSE® Security.

Acceptation des vulnérabilités

Vous pouvez 'Accepter' une vulnérabilité (CVE) pour l’exclure des rapports, des vues, du scoring de risque, etc. Une vulnérabilité peut être sélectionnée et le bouton Accepter cliqué depuis plusieurs écrans tels que Risques de sécurité → Vulnérabilités, Actifs → Conteneurs, etc. Une fois acceptée, elle est ajoutée à la liste du Profil de vulnérabilité des Risques de sécurité →. Elle peut être consultée, exportée et modifiée ici. Notez que cette fonctionnalité d’Acceptation peut être limitée aux Images et/ou Espaces de noms répertoriés. De nouvelles entrées peuvent également être ajoutées manuellement à cette liste depuis cet écran.

Pour accepter une vulnérabilité globalement, allez à la page Risques de sécurité → Vulnérabilités et sélectionnez la vulnérabilité, puis Accepter. Cela créera un Profil de vulnérabilité pour ce CVE globalement.

global

Pour accepter une vulnérabilité trouvée dans un scan d’image, ouvrez les résultats du scan d’image dans Actifs → Registres, déroulez le menu déroulant Afficher et sélectionnez Accepter. Notez que vous pouvez également choisir d’Afficher ou de Masquer les vulnérabilités acceptées pour cette image. REMARQUE : Cette action créera une entrée de Profil de vulnérabilité pour ce CVE dans cette IMAGE uniquement.

image

Pour accepter une vulnérabilité trouvée dans un conteneur dans Actifs → Conteneurs, sélectionnez la vulnérabilité et déroulez le menu déroulant Afficher et sélectionnez Accepter. Notez que vous pouvez également choisir d’Afficher ou de Masquer les vulnérabilités acceptées pour ce conteneur. REMARQUE : Cette action créera un profil de vulnérabilité pour ce CVE dans cet espace de noms uniquement.

conteneur

Cette action peut également être effectuée dans les Actifs → Nœuds, ce qui créera un profil de vulnérabilité pour le CVE pour tous les conteneurs, images et espaces de noms.

Les vulnérabilités acceptées au niveau mondial sont exclues de la vue dans les Risques de Sécurité → Vulnérabilités et dans les rapports exportés depuis cette page. Les vulnérabilités acceptées qui sont limitées à des images ou espaces de noms spécifiques continueront à s’afficher dans la vue, mais seront exclues des rapports où le Filtre Avancé limite la vue à ces images ou espaces de noms.

Gestion des Profils de Vulnérabilité

Chaque vulnérabilité/CVE acceptée crée une entrée dans la liste des profils de vulnérabilité des Risques de Sécurité →. Ces entrées peuvent être modifiées pour ajouter ou supprimer des attributs tels que le(s) nom(s) d’image et le(s) espace(s) de noms.

profil

De nouvelles vulnérabilités acceptées peuvent également être ajoutées ici en saisissant le nom du CVE à accepter.