OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

漏洞管理概述

环境中的安全漏洞可能被攻击者利用来执行未经授权的操作,例如执行拒绝服务攻击、执行远程代码或未经授权访问敏感数据。因此,漏洞管理是成功实施Kubernetes安全程序的基础步骤。

漏洞管理流程

漏洞管理是一个持续识别和修复漏洞的过程。Red Hat Advanced Cluster Security for Kubernetes可帮助您简化漏洞管理流程。

成功的漏洞管理程序通常包括以下关键任务:

  • 执行资产评估

  • 优先处理漏洞

  • 评估风险

  • 采取行动

  • 持续重新评估资产

Red Hat Advanced Cluster Security for Kubernetes帮助组织对其OpenShift Container Platform和Kubernetes集群执行持续评估。它为组织提供必要的上下文信息,以便更有效地优先处理和解决其环境中的漏洞。

执行资产评估

对组织资产进行评估涉及以下步骤:

  • 识别环境中的资产

  • 扫描这些资产以识别已知的漏洞

  • 向受影响的利益相关者报告环境中的漏洞

当您在 Kubernetes 或 OpenShift Container Platform 集群上安装 Red Hat Advanced Cluster Security for Kubernetes 时,它首先会聚合集群内运行的资产,以帮助您识别这些资产。RHACS 允许组织对其 OpenShift Container Platform 和 Kubernetes 集群执行持续评估。RHACS 为组织提供上下文信息,以便更有效地优先处理和解决其环境中的漏洞。

组织应使用 RHACS 通过漏洞管理流程监控的重要资产包括:

  • 组件:组件是可用作镜像一部分或在节点上运行的软件包。组件是存在漏洞的最低级别。因此,组织必须以某种方式升级、修改或删除软件组件以修复漏洞。

  • 镜像:软件组件和代码的集合,用于创建运行代码可执行部分的环境。镜像是您升级组件以修复漏洞的地方。

  • 节点:用于使用 OpenShift 或 Kubernetes 管理和运行应用程序以及构成 OpenShift Container Platform 或 Kubernetes 服务的组件的服务器。

RHACS 将这些资产分组到以下结构中:

  • 部署:Kubernetes 中应用程序的定义,可能运行基于一个或多个镜像的容器的 Pod。

  • 命名空间:资源(例如部署)的分组,用于支持和隔离应用程序。

  • 集群:用于使用 OpenShift 或 Kubernetes 运行应用程序的一组节点。

RHACS 扫描资产以查找已知漏洞,并使用通用漏洞和披露 (CVE) 数据来评估已知漏洞的影响。

漏洞优先级排序

回答以下问题,以便确定环境中漏洞的优先级,以便采取行动和进行调查:

  • 受影响的资产对您的组织有多重要?

  • 漏洞需要达到多严重的程度才能进行调查?

  • 是否可以通过受影响的软件组件的补丁来修复漏洞?

  • 漏洞的存在是否违反了您组织的任何安全策略?

这些问题的答案有助于安全和开发团队决定是否要评估漏洞的暴露程度。

Red Hat Advanced Cluster Security for Kubernetes 为您提供了促进应用程序和组件中漏洞优先级排序的方法。

评估暴露程度

要评估您对漏洞的暴露程度,请回答以下问题:

  • 您的应用程序是否受漏洞的影响?

  • 漏洞是否已被其他因素缓解?

  • 是否存在可能导致利用此漏洞的已知威胁?

  • 您是否正在使用存在漏洞的软件包?

  • 在特定漏洞和软件包上花费时间是否值得?

根据您的评估采取以下一些措施:

  • 如果您确定不存在暴露或漏洞不适用于您的环境,请考虑将漏洞标记为误报。

  • 如果您面临暴露风险,请考虑您是否更愿意修复、缓解或接受风险。

  • 考虑您是否要删除或更改软件包以减少您的攻击面。

采取行动

一旦您决定对漏洞采取行动,您可以采取以下一项措施:

  • 修复漏洞

  • 缓解并接受风险

  • 接受风险

  • 将漏洞标记为误报

您可以通过执行以下一项操作来修复漏洞:

  • 删除软件包

  • 将软件包更新到非漏洞版本