スキャンとコンプライアンス
SUSE® Securityは、脆弱性スキャンとセキュリティのためのCISベンチマークの実行、さらにカスタムコンプライアンスチェックを通じて、フルライフサイクルのスキャンとコンプライアンスを可能にします。セキュリティリスクメニューは、カスタマイズ可能な脆弱性およびコンプライアンス管理の調査、トリアージ、報告を可能にします。画像の脆弱性を簡単に調査し、それらの脆弱性を含むノードやコンテナを特定できます。高度なフィルタリングにより、スキャンおよびコンプライアンスチェックの結果を簡単にレビューでき、カスタマイズされた報告が提供されます。また、PCI、GDPR、その他の規制に対する標準およびカスタマイズ可能なコンプライアンスレポートとテンプレートを提供します。
SUSE® Securityスキャンの概要
スキャンは、ビルドからレジストリ、ランタイムまでのパイプラインのすべてのフェーズで、以下に示すさまざまな資産に対して実行されます。
| スキャンの種類 | イメージ | ノード | コンテナ | Orchestrator |
|---|---|---|---|---|
脆弱性 |
はい |
はい |
はい |
はい |
CISベンチマーク |
はい |
はい |
はい |
はい |
カスタムコンプライアンス |
いいえ |
はい |
はい |
いいえ |
シークレット |
はい |
はい |
はい |
いいえ |
モジュール |
はい |
N/A |
N/A |
N/A |
画像は、レジストリスキャンまたはJenkins、CircleCI、Gitlabなどのビルドフェーズプラグインを通じてスキャンされます。
SUSE® SecurityによってサポートされるCISベンチマークには、以下が含まれます。
-
Kubernetes
-
Docker
-
Red Hat OpenShiftのドラフト「CISに触発された」ベンチマーク
-
Google GKE
これらのベンチマークのオープンソース実装は、 SUSE® Security GitHubページで見つけることができます。
|
ノードおよびコンテナ内の秘密も、カスタムスクリプトを使用して検出できます。 |
Kubernetesリソースデプロイメントファイルのスキャン
SUSE® Securityは、Admission Controlルールに対する構成評価のためにデプロイメントyamlファイルをスキャンできます。これは、デプロイメントを試みる前に、デプロイメントyamlファイルをパイプラインの早い段階でスキャンして、デプロイメントがルールに違反するかどうかを判断するのに役立ちます。詳細については、アドミッションコントロールの下にある構成評価をご覧ください。
脆弱性とコンプライアンスの管理
SUSE® Securityは、脆弱性およびコンプライアンススキャン結果をレビューし、レポートを生成するためのいくつかの方法を提供します。具体的には、次のようなメカニズムがあります。
-
*ダッシュボード。*脆弱性の要約を確認し、それが全体のセキュリティリスクスコアにどのように影響するかを見てください。
-
*セキュリティリスクメニュー。*脆弱性とコンプライアンスの問題の影響を確認し、高度なフィルタリングを使用してレポートを生成します。
-
*資産メニュー。*レジストリ、ノード、コンテナなど、各資産の脆弱性およびコンプライアンス結果を確認します。
-
*通知 → リスクレポート。*各資産のスキャンイベントを表示します。
-
*応答ルール。*スキャン結果に基づいて、ウェブフック通知や隔離などの応答を作成します。
-
*REST API。*スキャンをトリガーし、プロセスを自動化するためにプログラム的にスキャン結果を取得します。
-
*SYSLOG/ウェブフックアラート。*スキャン結果をSIEMやその他のエンタープライズプラットフォームに送信します。
セキュリティリスクメニュー
これらのメニューは、資産メニューにあるレジストリ(イメージ)、ノード、およびコンテナの脆弱性スキャンとコンプライアンスチェックの結果を統合し、エンドツーエンドの脆弱性管理とレポートを可能にします。コンプライアンスプロファイルメニューは、コンプライアンスレポートを生成するためのPCI、GDPRおよびその他のコンプライアンスチェックのカスタマイズを可能にします。
このメニューでの脆弱性管理については、次のセクションの脆弱性管理を参照し、CISベンチマークやPCI、GDPR、HIPAA、NIST、PCIv4、DISA STIGなどの業界コンプライアンスに関する報告についてはコンプライアンス & CISベンチマークセクションを参照してください。
資産メニュー
資産メニューは、資産ごとに整理された脆弱性とコンプライアンスチェックの結果を報告します。
-
プラットフォーム。Kubernetesなどのオーケストレーションプラットフォームと、そのプラットフォームの脆弱性スキャン。
-
ノード。SUSE® Securityエンフォーサーによって保護されたノード/ホスト、およびCISベンチマークやカスタムチェックなどのコンプライアンスチェックの結果、さらにホストの脆弱性スキャン。
-
コンテナ。システムコンテナを含むクラスター内のすべてのコンテナ、およびCISベンチマークやカスタムチェックなどのコンプライアンスチェックの結果、さらにコンテナの実行時脆弱性スキャン。プロセスのアクティビティやパフォーマンス統計もここで確認できます。
-
レジストリ。SUSE® Securityによってスキャンされたレジストリ/リポジトリ。レイヤー化されたイメージスキャンの結果はここにあり、スキャン結果はポリシー→のアドミッションコントロールルールで使用できます。
|
上記のカスタムコンプライアンスチェックは、ポリシー → グループメニューで定義されています。 |
自動実行時スキャン
SUSE® Securityは、実行中のコンテナ、ホストノード、およびオーケストレーションプラットフォームを脆弱性のためにスキャンできます。ノードまたはコンテナの資産メニューで、ノードまたはコンテナの脆弱性タブをクリックして自動スキャンを有効にし、次に自動スキャン(右上に表示)をクリックして、実行中のすべてのコンテナ、ノード、およびプラットフォームをスキャンします。新しく開始されたものも、実行が開始されるとスキャンされます。コンテナまたはノードを選択して手動でスキャンすることもできます。
発見された各脆弱性名/CVEをクリックすると、その説明を取得でき、ポップアップ内の検査矢印をクリックすると、脆弱性の詳細な説明を見ることができます。
自動スキャンは、SUSE® Security CVEデータベースが更新されるたびにトリガーされます。詳細については、セクションCVEデータベースの更新をご覧ください。
脆弱性に基づく自動アクション、緩和策、および応答
レジストリスキャンの結果に基づいて、脆弱なイメージのデプロイを防ぐためのアドミッションコントロールルールを作成できます。詳細については、セキュリティポリシー→ アドミッションコントロール セクションをご覧ください。
レジストリスキャン、実行時スキャン、またはCISベンチマーク中に検出された脆弱性に対する自動応答を作成するための指示については、セキュリティポリシー→ 応答ルールセクションをご覧ください。応答には、隔離、Webhook通知、および抑制が含まれます。
分散イメージスキャン結果のための連携レジストリ
プライマリ(マスター)クラスターは、連携レジストリとして指定されたレジストリ/リポジトリをスキャンできます。これらのレジストリからのスキャン結果は、すべての管理(リモート)クラスターに同期されます。これにより、管理クラスターコンソールにスキャン結果を表示し、管理クラスターのアドミッションコントロールルールで結果を使用できるようになります。レジストリは、各クラスターによってスキャンされるのではなく、一度だけスキャンされる必要があり、CPU/メモリおよびネットワーク帯域幅の使用を削減します。詳細については、マルチクラスターセクションをご覧ください。
スキャナーポッドの自動スケーリング
スキャナーポッドは、特定の基準に基づいて自動スケーリングするように構成できます。これにより、スキャンジョブが迅速かつ効率的に処理され、特にスキャンまたは再スキャンする必要があるイメージが数千ある場合に効果的です。設定は、遅延、即時、および無効の3つの可能な設定があります。コントローラーによってスキャンのためにイメージがキューに入れられると、コントローラーはキュー内のタスク数(タスクカウント)を保持します。詳細については、複数のスキャナーセクションをご覧ください。
|
スキャナーがOpenShiftオペレーターによってデプロイされている場合、スキャナーの自動スケーリングはサポートされません。理由は、オペレーターが常にポッドの数を設定された値に変更するためです。 |