Gestione della sicurezza delle immagini con il Vulnerability Advisor

Vulnerability Advisor è fornito come parte di IBM Cloud® Container Registry. Il Vulnerability Advisor verifica lo stato di sicurezza delle immagini del contenitore fornite da IBM, da terze parti oppure aggiunte allo spazio dei nomi del registro della tua organizzazione.

Vulnerability Advisor fornisce la gestione della sicurezza per IBM Cloud Container Registry. Vulnerability Advisor genera un rapporto sullo stato della sicurezza che include le correzioni suggerite e le best practice.

Quando aggiungi un'immagine a uno spazio dei nomi, il Vulnerability Advisor ne esegue automaticamente la scansione per rilevare problemi di sicurezza e potenziali vulnerabilità. Se si riscontrano dei problemi di sicurezza, vengono fornite le istruzioni per facilitare la correzione delle vulnerabilità segnalate.

Qualsiasi problema rilevato dal Vulnerability Advisor determina un verdetto che indica che non è consigliabile distribuire questa immagine. Se scegli di distribuire l'immagine, qualsiasi contenitore distribuito dall'immagine include dei problemi noti che potrebbero essere utilizzati per attaccarlo o comprometterlo in altro modo. Il verdetto viene modificato in base a tutte le esenzioni che hai specificato.

La correzione dei problemi di configurazione e sicurezza notificati dal Vulnerability Advisor può aiutarti a proteggere la tua infrastruttura IBM Cloud.

È possibile utilizzare IBM Cloud Security and Compliance Center per monitorare le vulnerabilità rilevate da Vulnerability Advisor. Per ulteriori informazioni, vedi Introduzione a Security and Compliance Center.

L'uso di Portieris per bloccare la distribuzione di immagini con problemi rilevati da Vulnerability Advisor è deprecato.

Informazioni sul Vulnerability Advisor

Il Vulnerability Advisor fornisce funzioni che ti aiutano a proteggere le tue immagini.

Nella versione 4 sono disponibili le seguenti funzioni:

Esegue la scansione delle immagini per individuare eventuali problemi.
Crea un rapporto di valutazione basato sulle pratiche di sicurezza specifiche di IBM Cloud Kubernetes Service.
Fornisce istruzioni su come correggere un pacchetto vulnerabile segnalato nei suoi rapporti.
Applica i criteri di esenzione ai rapporti a livello di account, spazio dei nomi, repository o tag per segnalare quando i problemi segnalati non si applicano al caso d'uso.

La colonna Stato di sicurezza nella scheda Immagini della dashboard Container Registry visualizza il numero di problemi associati a ciascuna immagine. Per saperne di più sui problemi, fate clic sul link nella colonna Stato di sicurezza.

Il dashboard del Vulnerability Advisor fornisce una panoramica e una valutazione della sicurezza di un'immagine. Se desideri ulteriori informazioni sul dashboard Vulnerability Advisor, consulta Riesame di un report di vulnerabilità.

Le immagini criptate non vengono analizzate da Vulnerability Advisor.

Protezione dei dati

Per eseguire la scansione di immagini e contenitori nel tuo account per rilevare eventuali problemi di sicurezza, il Vulnerability Advisor raccoglie, memorizza ed elabora le seguenti informazioni:

Campi in formato libero, compresi ID, descrizioni e nomi immagine (registro, spazio dei nomi, nome repository e tag immagine)
Metadati relativi alle modalità file e alle date/ore di creazione dei file di configurazione
Il contenuto dei file di configurazione di sistema e applicazioni in immagini e contenitori
Pacchetti e librerie installati (comprese le loro versioni)

Non inserire informazioni personali nei campi o nelle ubicazioni elaborati dal Vulnerability Advisor, così come identificati nell'elenco precedente.

I risultati della scansione, aggregati a un livello di data center, vengono elaborati per produrre delle metriche anonimizzate per effettuare e migliorare il servizio.

Nella versione 4, l'immagine viene indicizzata quando viene inserita per la prima volta nel registro Container Registry e il rapporto di indicizzazione viene memorizzato nel database. Quando Vulnerability Advisor viene interrogato, viene recuperato il report dell'indice delle immagini e viene prodotta una valutazione delle vulnerabilità. Questa azione avviene dinamicamente ogni volta che Vulnerability Advisor viene interrogato. Pertanto, non esiste alcun risultato di scansione pregenerato che debba essere eliminato. Tuttavia, il rapporto sull'indice dell'immagine viene eliminato entro 30 giorni dalla cancellazione dell'immagine dal registro.

Tipi di vulnerabilità

Pacchetti vulnerabili

Il Vulnerability Advisor verifica i pacchetti vulnerabili nelle immagini che stanno utilizzando i sistemi operativi supportati e fornisce un link per tutte le informazioni particolari sulla sicurezza rilevanti sulla vulnerabilità.

I pacchetti che contengono problemi di vulnerabilità noti vengono visualizzati nei risultati della scansione. Le vulnerabilità possibili vengono aggiornate dagli avvisi di sicurezza pubblicati giornalmente per i tipi di immagine Docker elencati nella seguente tabella. Di norma, per fare in modo che un pacchetto vulnerabile superi con esito positivo la scansione, è necessaria una sua versione più recente che includa una correzione per la vulnerabilità in questione. Lo stesso pacchetto può elencare più vulnerabilità e in questo caso, un solo aggiornamento del pacchetto può risolvere più vulnerabilità.

Vulnerability Advisor restituisce le vulnerabilità solo quando il distributore pubblica una correzione del pacchetto. Le vulnerabilità dichiarate che non sono ancora state risolte o che non verranno risolte non vengono segnalate da Vulnerability Advisor. Pertanto, se Vulnerability Advisor non segnala alcuna vulnerabilità, l'immagine potrebbe comunque presentare dei rischi.

Per la versione 4, l'immagine viene indicizzata la prima volta che viene spinta. In seguito, la valutazione della vulnerabilità viene calcolata ogni volta che Vulnerability Advisor viene interrogato su quell'immagine. Le immagini vengono scansionate solo se hanno un tag.

Le tabelle seguenti mostrano le immagini di base Docker supportate che Vulnerability Advisor controlla per i pacchetti vulnerabili.

Vulnerability Advisor supporta solo le release delle piattaforme attualmente supportate dal fornitore della piattaforma stessa.

Immagini di base Docker supportate che Vulnerability Advisor 4 verifica per i pacchetti vulnerabili
Immagine di base Docker	Versioni supportate	Origine delle informazioni particolari di sicurezza
Alpine	Tutte le versioni stabili con supporto di sicurezza del fornitore. È supportato anche Edge.	Database Alpine SecDB.
Debian	Tutte le versioni stabili con supporto di sicurezza del fornitore. I CVE sui pacchetti binari associati al pacchetto sorgente Debian `linux`, come `linux-libc-dev`, non sono segnalati. La maggior parte di questi pacchetti binari sono moduli del kernel e del kernel, che non vengono eseguiti nelle immagini del contenitore.	Tracciamento dei bug di sicurezza Debian.
GoogleContainerTools senza distro	Tutte le versioni stabili con supporto di sicurezza del fornitore.	GoogleContainerTools senza distro
Red Hat® Enterprise Linux® (RHEL)	RHEL/UBI 7, RHEL/UBI 8 e RHEL/UBI 9	Red Hat API dei dati di sicurezza.
Ubuntu	Tutte le versioni stabili con supporto di sicurezza del fornitore.	Ubuntu CVE Tracker.

Se si utilizza un'immagine basata su un sistema operativo distribuito nella tabella precedente, ma con una versione non supportata dal fornitore e senza dati di sicurezza disponibili, ad esempio Debian 10 o precedente, Vulnerability Advisor potrebbe riportare No issues per l'immagine.

Problemi di configurazione

I problemi di configurazione non sono supportati nella versione 4 di Vulnerability Advisor.

Impostazione della versione di Vulnerability Advisor

Per recuperare i risultati della versione 4, eseguire il seguente comando ibmcloud cr va-version-set comando. L'unico valore valido è v4.

ibmcloud cr va-version-set v4

In alternativa, è possibile impostare una variabile d'ambiente va_version e specificare la versione di Vulnerability Advisor che si desidera utilizzare. L'unico valore valido è v4.

Se si tenta di impostare una versione non valida di Vulnerability Advisor, si ottiene un errore; per assistenza, vedere Perché viene visualizzato un errore relativo a una versione non valida di Vulnerability Advisor?

Riesame di un report di vulnerabilità

Prima che tu distribuisca un'immagine, puoi riesaminare il relativo report del Vulnerability Advisor per i dettagli relativi ad eventuali pacchetti vulnerabili e impostazioni delle applicazioni o del contenitore non sicure.

Puoi inoltre controllare se l'immagine è conforme alle politiche organizzative.

Se non si risolvono i problemi scoperti, questi possono avere un impatto sulla sicurezza dei container che utilizzano quell'immagine. Se si utilizza l'enforcement nell'ambiente di runtime del container, potrebbe essere impedito di distribuire l'immagine a meno che tutti i problemi non siano esentati dalla politica.

Se la tua immagine non soddisfa i requisiti impostati dalla politica della tua organizzazione, devi configurare l'immagine in modo che soddisfi tali requisiti prima di poterla distribuire. Per ulteriori informazioni su come visualizzare e modificare la politica dell'organizzazione, consulta Impostazione delle politiche di esenzione organizzative.

Esaminare un rapporto di vulnerabilità utilizzando la console

È possibile verificare la sicurezza delle immagini Docker memorizzate nei namespace in Container Registry utilizzando la console IBM Cloud.

Accedi a IBM Cloud.
Fare clic su Menu di navigazione, quindi fare clic su Container Registry.
Fai clic su Immagini. Viene visualizzato un elenco delle tue immagini e dello stato di sicurezza di ogni immagine nella tabella Images.
Per visualizzare il report per l'immagine contrassegnata come latest, fai clic sulla riga di tale immagine. Si apre la scheda Image Details che mostra i dati di tale immagine. Se non esiste alcuna tag latest nel repository, viene utilizzata l'immagine più recente.
Se la colonna Stato di sicurezza mostra dei problemi, per conoscerli fare clic sulla scheda Problemi per tipo. Vengono visualizzate le tabelle Vulnerabilità e Problemi di configurazione.
- Tabella Vulnerabilities. Questa tabella mostra l'ID della vulnerabilità per ogni problema, lo stato della policy per quel problema, i pacchetti interessati e come risolvere il problema. Per visualizzare ulteriori informazioni su tale problema, espandi la riga. Viene visualizzato un riepilogo di tale problema, che contiene un link all'avviso di sicurezza del fornitore per tale problema. Elenca i pacchetti che contengono problemi di vulnerabilità noti.
  
  L'elenco viene aggiornato giornalmente utilizzando gli avvisi di sicurezza pubblicati per i tipi di immagine Docker elencati in Tipi di vulnerabilità. Di norma, per fare in modo che un pacchetto vulnerabile superi con esito positivo la scansione, è necessaria una sua versione più recente che includa una correzione per la vulnerabilità in questione. Lo stesso pacchetto può elencare più vulnerabilità e, in questo caso, un singolo aggiornamento del pacchetto può correggere più problemi. Fai clic sul codice dell'avviso di sicurezza per visualizzare maggiori informazioni sul pacchetto e i passi per aggiornare il pacchetto.
- Tabella Configuration Issues. Questa tabella mostra l'ID del problema di configurazione per ogni problema, lo stato del criterio per quel problema e la pratica di sicurezza. Per visualizzare ulteriori informazioni su tale problema, espandi la riga. Viene visualizzato un riepilogo di tale problema, che contiene un link all'avviso di sicurezza per tale problema.
  
  L'elenco contiene i consigli per le azioni che puoi applicare per aumentare la sicurezza del contenitore e le eventuali impostazioni dell'applicazione per il contenitore che non sono sicure. Espandi la riga per vedere come risolvere il problema.
Completa l'azione correttiva per ogni problema mostrato nel report e ricrea l'immagine.

Riesame di un report di vulnerabilità utilizzando la CLI

Puoi riesaminare la sicurezza delle immagini Docker memorizzate nei tuoi spazi dei nomi in IBM Cloud Container Registry utilizzando la CLI.

Elenca le immagini nel tuo account IBM Cloud. Viene restituito un elenco di tutte le immagini, indipendentemente dallo spazio dei nomi in cui sono memorizzate.
```
ibmcloud cr image-list
```
Controlla lo stato nella colonna SECURITY STATUS.
- No Issues non è stato rilevato alcun problema di sicurezza.
- <X> Issues I potenziali problemi o vulnerabilità di sicurezza riscontrati, dove <X> è il numero di problemi.
- Scanning è in corso la scansione dell'immagine e lo stato di vulnerabilità finale non è determinato.
- Unsupported OS La scansione non ha rilevato alcuna distribuzione del sistema operativo (OS) supportata e nessun problema di configurazione attivo.
Per visualizzare i dettagli dello stato, esaminare il rapporto Vulnerability Advisor eseguendo il seguente comando. Dove REGION è la regione, MY_NAMESPACE è lo spazio dei nomi, MY_IMAGE è l'immagine e TAG è il tag.
```
ibmcloud cr va REGION.icr.io/MY_NAMESPACE/MY_IMAGE:TAG
```
Nell'output della CLI, puoi visualizzare le seguenti informazioni sui problemi di sicurezza.
- Security practice Una descrizione della vulnerabilità.
- Corrective action Come risolvere la vulnerabilità.

Impostazione delle politiche di esenzione organizzative

Se vuoi gestire la sicurezza di un'organizzazione IBM Cloud, puoi utilizzare la tua impostazione della politica per determinare se un problema è esente o meno.

È possibile distribuire i container da qualsiasi immagine, indipendentemente dallo stato di sicurezza.

Per saperne di più sulle autorizzazioni necessarie per lavorare con le esenzioni, vedere Ruoli di accesso per la configurazione di IBM Cloud Container Registry.

L'uso di Portieris per bloccare la distribuzione di immagini con problemi rilevati da Vulnerability Advisor è deprecato.

Impostazione dei criteri di esenzione tramite la console

Se si utilizza la console IBM Cloud, è possibile impostare uno spazio dei nomi, un repository o un tag come ambito del criterio di esenzione. Se si desidera utilizzare il digest come ambito, è necessario utilizzare la CLI, vedere Impostazione dei criteri di esenzione organizzativa mediante la CLI.

Se si desidera impostare le esenzioni dal criterio utilizzando la console IBM Cloud, completare i passaggi seguenti:

Accedi a IBM Cloud. Per vedere Vulnerability Advisor nella console IBM Cloud è necessario aver effettuato il login.
Fare clic su Menu di navigazione, quindi fare clic su Container Registry.
Fai clic su Settings.
Nella sezione Esenzioni dai criteri di protezione, fare clic su Crea.
Seleziona il tipo di problema.
Immetti l'ID problema.

Puoi trovare queste informazioni nel tuo report di vulnerabilità. La colonna Vulnerability ID contiene l'ID da utilizzare per i problemi di avvisi di sicurezza o CVE; la colonna Configuration Issue ID contiene l'ID da utilizzare per i problemi di configurazione.
Selezionare lo spazio dei nomi del registro, il repository, l'immagine e il tag a cui si desidera applicare l'esenzione.
Fai clic su Crea.

Puoi anche modificare e rimuovere le esenzioni passando il puntatore del mouse sulla riga pertinente e facendo clic sull'icona apri e chiudi elenco delle opzioni.

Impostazione dei criteri di esenzione tramite la CLI

Se si utilizza la CLI, è possibile impostare uno spazio dei nomi, un repository, un digest o un tag come ambito del criterio di esenzione.

Se si desidera impostare le esenzioni dal criterio utilizzando la CLI, è possibile eseguire i seguenti comandi:

Per creare un'esenzione per un problema di sicurezza, esegui il comando ibmcloud cr exemption-add.
Per elencare le eccezioni per i problemi di sicurezza, esegui il comando ibmcloud cr exemption-list .
Per elencare i tipi di problemi di sicurezza che puoi esentare, esegui il comando ibmcloud cr exemption-types.
Per eliminare un'esenzione per un problema di sicurezza, esegui il comando ibmcloud cr exemption-rm.

Per ulteriori informazioni sui comandi, è possibile utilizzare l'opzione --help quando si esegue il comando.