本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。

扫描和合规性

SUSE® Security 通过漏洞扫描和运行 CIS 基准来实现完整生命周期的扫描和合规性,以及自定义合规检查。安全风险菜单支持可定制的漏洞和合规管理调查、分类和报告。轻松研究镜像漏洞,找出哪些节点或容器包含这些漏洞。高级过滤使得审查扫描和合规检查结果变得简单,并提供定制报告。它还提供标准和可定制的合规报告和模板,适用于 PCI、GDPR 和其他法规。

SUSE® Security 扫描概述

扫描在从构建到注册到运行时的所有阶段进行,针对各种资产,如下所示。

扫描类型 映像 节点 容器 调度程序

漏洞

CIS 基准

自定义合规

秘密

模块

不适用

不适用

不适用

镜像可以通过注册扫描或通过构建阶段的插件(如 Jenkins、CircleCI、Gitlab 等)进行扫描。

SUSE® Security 支持的 CIS 基准包括:

  • Kubernetes

  • Docker

  • 红帽 OpenShift 草案 '受 CIS 启发' 基准

  • Google GKE

这些基准的开源实现可以在 SUSE® Security Github 页面 上找到。

秘密也可以通过 自定义脚本 在节点和容器中检测到。

Kubernetes 资源部署文件扫描

SUSE® Security 能够扫描部署 yaml 文件,对配置进行评估,以检查是否符合准入控制规则。这在管道早期扫描部署 yaml 文件时非常有用,可以确定部署是否会违反任何规则,然后再尝试进行部署。有关更多详细信息,请参见配置评估下的准入控制。

管理漏洞和合规性

SUSE® Security提供几种方法来查看漏洞和合规性扫描结果并生成报告。其中包括:

  • *仪表板*查看漏洞摘要,并了解它们如何影响整体安全风险评分

  • *安全风险菜单*查看漏洞和合规问题的影响,并使用高级过滤生成报告。

  • *资产菜单.*查看每个资产(如注册表、节点和容器)的漏洞和合规性结果。

  • *通知 → 风险报告*查看每个资产的扫描事件。

  • *响应规则*根据扫描结果创建响应,例如网络钩子通知或隔离。

  • *REST API*触发扫描并以编程方式提取扫描结果以自动化该过程。

  • *SYSLOG/网络钩子警报*将扫描结果发送到 SIEM 或其他企业平台。

安全风险菜单

这些菜单结合了资产菜单中找到的注册表(镜像)、节点和容器漏洞扫描及合规检查的结果,以实现端到端的漏洞管理和报告。合规性配置文件菜单允许自定义 PCI、GDPR 和其他合规检查,以生成合规报告。

SecurityRisks

请参阅下一节关于漏洞管理的内容,了解如何在此菜单中管理漏洞,以及合规性与CIS基准部分,报告CIS基准和行业合规性,如PCI、GDPR、HIPAA、NIST、PCIv4和DISA STIG。

资产菜单

资产菜单报告按资产组织的漏洞和合规检查结果。

  • 平台。如Kubernetes等编排平台,以及平台的漏洞扫描。

  • 节点。由 SUSE® Security Enforcers 保护的节点/主机,以及合规检查结果(如 CIS 基准和自定义检查)和主机漏洞扫描。

  • 容器。集群中的所有容器,包括系统容器,以及合规检查结果,例如 CIS 基准和自定义检查,以及容器运行时漏洞扫描。此处还可以找到进程活动和性能统计信息。

  • 注册表。由SUSE® Security扫描的注册表/仓库。分层镜像扫描结果可在此处查看,扫描结果可用于准入控制规则(在策略 → 准入控制中找到)。

自定义合规检查,如上所述,在策略→组菜单中定义。

自动运行时扫描

SUSE® Security可以扫描运行中的容器、主机节点和编排平台的漏洞。在节点或容器的资产菜单中,通过单击节点或容器的漏洞选项卡启用自动扫描,然后点击自动扫描(出现在右上角),以扫描所有正在运行的容器、节点和平台,包括新启动的容器。您还可以选择一个容器或节点并手动扫描。

您可以点击每个发现的漏洞名称/CVE以获取其描述,并在弹出窗口中点击检查箭头以查看漏洞的详细描述。

漏洞

每当SUSE® Security CVE数据库更新时,自动扫描也会被触发。有关详细信息,请参见更新CVE数据库部分。

基于漏洞的自动化操作、缓解措施和响应

可以创建准入控制规则,以防止基于注册表扫描结果部署存在漏洞的镜像。有关详细信息,请参见安全策略 → 准入控制 部分。

有关在注册表扫描、运行时扫描或 CIS 基准测试期间检测到的漏洞创建自动响应的说明,请参见安全策略→ 响应规则部分。响应可以包括隔离、Webhook 通知和抑制。

用于分布式镜像扫描结果的联合注册表

主(主控)集群可以扫描指定为联合注册表的注册表/仓库。这些注册表的扫描结果将同步到所有管理(远程)集群。这使得在管理集群控制台中显示扫描结果以及在管理集群的准入控制规则中使用结果成为可能。注册表只需扫描一次,而不是每个集群都扫描,从而减少处理器、内存和网络带宽的使用。有关更多详细信息,请参见多集群部分。

扫描器Pod的自动扩展

可以根据某些标准配置扫描器Pod以进行自动扩展。这将确保扫描任务快速高效地处理,特别是在需要扫描或重新扫描数千个镜像时。有三种可能的设置:延迟、立即和禁用。当控制器将镜像排队进行扫描时,它会记录队列大小的“任务计数”。请参阅多个扫描仪部分以获取更多详细信息。

当扫描仪与 OpenShift 操作员一起部署时,不支持扫描仪自动扩展,因为操作员会始终将 pod 数量调整为其配置的值。