脆弱性管理

SUSE® Securityを使用した脆弱性の管理

SUSE® Securityは、パイプライン全体で自動化された脆弱性スキャンと管理を可能にします。SUSE® Securityにおける脆弱性管理のベストプラクティスには、以下が含まれます:

  • ビルドフェーズ中にスキャンを行い、重大な脆弱性が「修正可能」として存在する場合はビルドを失敗させます。これにより、開発者はレジストリに保存する前に修正可能な脆弱性に対処することが強制されます。

  • 新たに発見された脆弱性を探すために、ステージングおよび本番レジストリを継続的にスキャンします。修正可能な脆弱性は、即座に修正することが求められるか、修正のための猶予期間が与えられる場合があります。

  • 入場制御ルールを設定し、重大/高、修正可能、報告日などの基準に基づいて本番環境へのデプロイをブロックします。

  • 新たに発見された脆弱性に対して、プロダクションノード/ホスト、コンテナ、およびオーケストレーションプラットフォームを継続的にスキャンします。重要度/深刻度に基づいて、セキュリティおよび開発者に連絡するWebhookアラート、コンテナの隔離、または修正のための猶予期間を開始するなどの対応を実施します。

  • 実行中のコンテナが、適切なホワイトリストルールを持つモニターまたはプロテクトモードにあることを確認し、プロダクションでの悪用を防ぐために脆弱性を「仮想パッチ」します。

  • ディストロレスおよびPhotonOSベースのイメージをスキャンします。

SUSE® Securityのダッシュボードは、脆弱性を含むリスクスコアの概要を提示し、脆弱性からのリスクを軽減するために使用できます。リスクスコアを改善するハウツーについては、こちらをご覧ください

脆弱性をレビュー、フィルタリング、報告するためのもう一つの主要なツールは、セキュリティリスクメニューにあります。

セキュリティリスクメニュー - 脆弱性

このメニューは、アセットメニューで見つかったレジストリ(イメージ)、ノード、およびコンテナの脆弱性スキャンとコンプライアンスチェックの結果を統合し、エンドツーエンドの脆弱性管理と報告を可能にします。

脆弱性メニューは、次のことを行うための強力なエクスプローラーツールを提供します:

  • レポートの表示またはダウンロードを簡単にフィルタリングできるように、検索文字列を入力するか、ボックスの隣にある高度なフィルターを使用してください。高度なフィルターを使用すると、ユーザーは脆弱性を修正の有無、緊急度、作業負荷、サービス、コンテナ、ノード、またはネームスペースでフィルタリングできます。

  • 脆弱性とコンプライアンスチェックの影響を理解するには、影響行をクリックし、是正措置および影響を受けた画像、ノード、またはコンテナを確認してください。

  • 任意の脆弱性またはコンプライアンス問題の保護ステータス(エクスプロイトリスク)を表示し、影響を受けたノードまたはコンテナに対してSUSE® Securityランタイムセキュリティ保護(ルール)が有効かどうかを確認します。

  • レビュー後に脆弱性/CVEを「受け入れる」と、表示から隠され、レポートに表示されなくなります。

SecurityRisks

フィルターボックスを使用して文字列を入力するか、その隣にある高度なフィルターを使用して、以下に示すようにより具体的な基準を選択してください。ダウンロードされたPDFおよびCSVレポートには、フィルタリングされた結果のみが表示されます。

AdvancedFilter

リストにある任意のCVEを選択すると、そのCVE、是正措置、および影響を受けた画像、ノード、またはコンテナに関する追加の詳細が提供されます。保護状態アイコン(円)は、ランタイム中にSUSE® Securityによって保護されていない影響を受けたアイテムの大まかな割合を示すためにさまざまな色を示し、SUSE® Securityルール(モニターまたは保護モード)によって保護されているか、ランタイム中に影響を受けていないことを示します(例:この脆弱性でスキャンされた画像には実行中のコンテナがありません)。保護状態列のカラースキームは次のとおりです:

  • 黒 = 影響を受けていない

  • 緑 = モニターまたは保護モードでSUSE® Securityによって保護されている

  • 赤 = SUSE® Securityによって保護されていない、まだ発見モードにある

影響分析ウィンドウ(影響を受けた画像、ノード、コンテナを表示)のカラースキームは次のとおりです:

  • 黒 = 影響を受けていない。この画像を使用しているコンテナは本番環境にはありません。

  • 紫 = 本番環境でモニターモードで実行中

  • ダークグリーン = 本番環境で保護モードで実行中

  • ライトブルー = 本番環境で発見モードで実行中(保護されていない)

インパクトの色は、SUSE® Securityコンソールの他の場所におけるDiscover、Monitor、Protectモードのランタイム保護の色に対応することを意図しています。

脆弱性の受け入れ

脆弱性(CVE)を「受け入れる」ことで、レポート、ビュー、リスクスコアリングなどから除外することができます。脆弱性は、セキュリティリスク→脆弱性、資産→コンテナなどのいくつかの画面から選択し、受け入れボタンをクリックすることができます。一度受け入れられると、セキュリティリスク→脆弱性プロファイルリストに追加されます。ここで表示、エクスポート、編集することができます。この受け入れ機能は、リストされたイメージやネームスペースに制限される場合がありますのでご注意ください。この画面から手動で新しいエントリをこのリストに追加することもできます。

脆弱性をグローバルに受け入れるには、セキュリティリスク→脆弱性ページに移動し、脆弱性を選択してから受け入れます。これにより、このCVEのグローバルな脆弱性プロファイルが作成されます。

グローバル

イメージスキャンで見つかった脆弱性を受け入れるには、資産 → レジストリのイメージスキャン結果を開き、表示ドロップダウンを引き下げて受け入れを選択します。このイメージに対して受け入れた脆弱性を表示または非表示にすることもできますのでご注意ください。NOTE:このアクションにより、このIMAGEのみに対してこのCVEの脆弱性プロファイルエントリが作成されます。

イメージ

資産 → コンテナで見つかった脆弱性を受け入れるには、脆弱性を選択し、表示ドロップダウンを引き下げて受け入れを選択します。このコンテナに対して受け入れた脆弱性を表示または非表示にすることもできますのでご注意ください。NOTE:このアクションにより、このネームスペースのみに対してこのCVEの脆弱性プロファイルが作成されます。

コンテナ

このアクションは、資産→ノードでも実行でき、すべてのコンテナ、イメージ、ネームスペースに対してCVEの脆弱性プロファイルが作成されます。

グローバルに受け入れられた脆弱性は、セキュリティリスク → 脆弱性のビューおよびこのページからエクスポートされたレポートには表示されません。特定のイメージやネームスペースに限定された受け入れられた脆弱性は、ビューには引き続き表示されますが、高度なフィルターがビューをそれらのイメージやネームスペースに制限するレポートには除外されます。

脆弱性プロファイルの管理

各受け入れられた脆弱性/CVEは、セキュリティリスク → 脆弱性プロファイルリストにエントリを作成します。これらのエントリは、イメージ名やネームスペースなどの属性を追加または削除するために編集できます。

profile

新しい受け入れられた脆弱性は、受け入れるCVE名を入力することでここに追加することもできます。