Container Vulnerability Response

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 8 Minuten Lesedauer

    • Die Anwendung ServiceNow® Container Vulnerability Response importiert angreifbare Container-Elemente (CVITs) und ermöglicht Ihnen gemäß den Regeln, Container-Schwachstellen zu beheben. Schwachstellendaten werden aus internen und externen Quellen abgerufen, z. B. aus der National Vulnerability Database (NVD) oder aus Drittanbieterintegrationen.

    Ab Version 18.0 von Vulnerability Responsekönnen Sie CVITs im Arbeitsbereich des Schwachstellenmanagers bzw. Arbeitsbereich für IT-Korrektur überwachen und beheben. Weitere Informationen finden Sie unter Vulnerability Manager Workspace und IT Remediation Workspace erkunden.

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.

    Vorteile

    Die Anwendung Container Vulnerability Response bietet die folgenden Vorteile:
    • Integration von Containersicherheitsprodukten von Drittparteien wie Prisma Cloud Compute von Palo Alto Networks.
    • Importiert Schwachstellendaten für die Images, die zur Laufzeit bereitgestellt werden, und ergänzt die Schwachstellendaten mit kontextbezogenen Informationen zur Laufzeit (Hosts, Kubernetes-Cluster, Services und Namespaces).
    • Stellt eine Liste der Referenzen bereit, die aus Schwachstellen für die relevanten Kubernetes-Entitäten in Configuration Management Database (CMDB) mithilfe von ServiceNow Kubernetes-Discovery erstellt wurden.
    • Bietet ein umfassendes Reporting-Dashboard, das Einblicke in Schwachstellen- und Korrekturtrends gewährt.

    Schlüsselfunktionen

    Die Anwendung Container Vulnerability Response verwaltet in den -Containern erkannte Schwachstellen. Sie bietet die folgenden Funktionen:
    • Zeigen Sie, um ein Docker-Image aus CVITs zu beziehen, anstatt Container auszuführen.
    • Konfigurieren Sie die Granularität von CVITs, um sie auf Image-, Kubernetes-Cluster-, Namespace- oder Serviceebene nachzuverfolgen.
    • Verfolgen Sie neue Image-Versionen, um behobene Schwachstellen zu identifizieren. Alle in älteren Versionen gemeldeten Schwachstellen werden in ServiceNow automatisch behoben, wenn neue Image-Versionen zur Laufzeit bereitgestellt werden.
    • Verfolgen Sie CVITs in Basis-Images getrennt von Anwendungs-Images, um eine unabhängige Korrektur zu ermöglichen.
    • Lösen Sie Ausnahmeanforderungen oder falsch positive Anforderungen aus, die durch einen mehrstufigen Genehmigerprozess überprüft werden können.
    • Definieren Sie Ausnahmeregeln, um CVITs automatisch zurückzustellen.

    Anwendungsfälle

    Container sind eine großartige Möglichkeit, Anwendungen in mehreren Umgebungen mit weniger Overhead und erhöhter Portabilität bereitzustellen und zu skalieren. Schwachstellen in Container-Images können jedoch ein Risiko für den zugrunde liegenden Host und letztendlich für die Infrastruktur darstellen, in der Container von diesen Images gestartet wurden. Obwohl es viele Containersicherheitsprodukte gibt, die Containerbilder auf Schwachstellen scannen, gibt es bei der Nachbesserung von Schwachstellen einige Überlegungen und Probleme. Container Vulnerability Response kann zur Lösung verschiedener Probleme oder Anwendungsfälle im Zusammenhang mit der Behebung von Container-Image-Schwachstellen beitragen. Erfahren Sie, wie Sie das Modul Container Vulnerability Response nutzen können:
    Laufzeitkontext
    Schwachstellen in Container-Images können erkannt werden, indem das Image in den folgenden Phasen des Anwendungslebenszyklus gescannt wird.
    • Phase 1: Wenn Bilder in der CI/CD-Pipeline erstellt werden.
    • Phase 2: Wenn Bilder in der Registry veröffentlicht werden
    • Phase 3: Wenn Bilder zur Laufzeit bereitgestellt werden.
    Während es wichtig ist, Schwachstellen in Phase 1 und Phase 2 so früh wie möglich zu identifizieren, ist es ebenso wichtig, einen Scan der Images durchzuführen, die in einer Laufzeitumgebung bereitgestellt werden. Sie bietet folgende Vorteile:
    • Identifizieren neuer allgemeiner Schwachstellen und Gefährdungen (CVE), die veröffentlicht wurden.
    • Bietet genauen Einblick in die Risikosituation der bereitgestellten Anwendungen.
    • Priorisierung von Schwachstellen, die behoben werden müssen. Der Laufzeitkontext in Bezug auf die Anwendungsservices oder Business Services, die von einer Schwachstelle betroffen sind, kann bei der Priorisierung helfen.

    Container Vulnerability Response lässt sich in Containersicherheitsprodukte wie Prisma Cloud Compute von Palo Alto Networks integrieren, um die Schwachstellendaten für die Images abzurufen, die zur Laufzeit bereitgestellt werden, und erweitert die Schwachstellendaten mit den kontextbezogenen Laufzeitinformationen wie Hosts, Kubernetes-Cluster, Services und Namespaces, in denen diese Container-Images werden bereitgestellt. Kunden, die die Kubernetes-Discovery ServiceNow verwenden, können die aus Schwachstellen erstellten Verweise auf die relevanten Kubernetes-Entitäten in ihrer Configuration Management Database (CMDB)sehen. Zusätzlich zur Anreicherung von Metadaten bietet ServiceNow auch ein umfassendes Reporting-Dashboard, das Einblicke in Schwachstellen- und Korrekturtrends gewährt.Laufzeitkontext

    Identifizieren Sie den Besitz
    Voraussetzungen

    • Kubernetes-Metadaten und -Referenzen: Damit Container Vulnerability Response Kubernetes-Metadaten (Namespace, Cluster usw.) und Verweise auf Configuration Management Database (CMDB) -Einträge ausfüllen kann, müssen Sie die Kubernetes-Discovery von Information Technology Operations Management (ITOM) implementieren. Die Kubernetes-Discovery füllt das Docker-Image, die ausgeführten Docker-Container, Pods, Kubernetes-Cluster usw. im CMDBaus. Container Vulnerability Response identifiziert das Docker-Image in CMDB basierend auf der Image-ID, identifiziert dann die zugehörigen Kubernetes-Entitäten und füllt die Verweise auf diese Entitäten aus angreifbaren Elementen.

    • Cloud-Metadaten und Docker-Image-Bezeichnungen: Container Vulnerability Response füllt auch Docker-Image-Bezeichnungen, Cloud-Account-IDs und Regionen aus, in denen ein Image bereitgestellt wird. Diese Daten werden im Datensatz „Erkanntes Containerimage“ verwaltet, das dem angreifbaren Element zugeordnet ist. Es gibt keine Voraussetzungen, damit diese Daten ausgefüllt werden. Container Vulnerability Response verwendet die von Containersicherheitsprodukten (z. B. Palo Alto Prisma Cloud Compute) zurückgegebenen Daten, um diese Einträge zu füllen.

    Die Zuständigkeit für das Patchen einer Schwachstelle in einem Containerimage kann von Organisation zu Organisation unterschiedlich sein. Diese Informationen können an verschiedenen Orten erfasst werden. Einige Organisationen verwenden Docker-Image-Bezeichnungen, um die Anwendungsteams zu identifizieren, die Besitzer eines bestimmten Containerimages sind, während andere Organisationen den Kubernetes-Namespace oder den Cloud-Account, in dem ein Containerimage bereitgestellt wird, verwenden können, um den richtigen Besitzer zu identifizieren.

    Container Vulnerability Response stellt die erforderlichen Datenmodellelemente bereit, um Docker-Image-Bezeichnungen, Kubernetes-Cluster-/Service-/Namespace-Metadaten oder Cloud-Account-Metadaten (Cloud-Account-ID, Region, Provider usw.) unter „Zuweisungsregeln“ erfassen und verwenden zu können. Modul und weisen Schwachstellen automatisch dem richtigen Anwendungsteam basierend auf den Metadaten des Images oder der Laufzeitumgebung zu.

    Eigentümeridentifizierung

    Verfolgen Sie Schwachstellen in Basis-Images nach
    Voraussetzungen

    Damit die Eigenschaft „Basisimage“ in Container Vulnerability Responseausgefüllt wird, müssen Basisimages explizit in der Konsole Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute konfiguriert werden. Weitere Informationen zur Konfiguration von Basis-Images in Prisma Cloud finden Sie unter https://docs.palalatonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/vulnerability_management/base_images.

    Container Vulnerability Response ermöglicht die Erstellung separater Schwachstellen-Datensätze für eine Basisebene, sodass sie einem anderen Team zugewiesen werden können.

    Verfolgen Sie Schwachstellen, die in einem Basis-BS-Image (z. B. Country) identifiziert wurden, anhand der in anderen Ebenen des Container-Images erkannten Schwachstellen. Viele Organisationen haben dedizierte Teams, die dafür verantwortlich sind, Basisbetriebssysteme zu patchen und sie für alle Anwendungsteams verfügbar zu machen. Basisimage

    Definieren Sie Granularität für angreifbare Elemente
    Voraussetzungen

    Konfigurieren Sie die Granularität von CVITs, indem Sie zu navigieren Alle > Container Vulnerability Response > Administration > VI-Granularität konfigurierenan.

    VI-Granularität

    Standardmäßig wird für jede eindeutige Kombination aus CVE und Docker-Image-Version (Referenz + Tag) ein angreifbares Element erstellt. Einige Docker-Images können jedoch in mehr als einem Kubernetes-Namespace bereitgestellt werden, und jeder Namespace kann im Besitz anderer Geschäftsbereiche oder Teams sein. Jedes Team kann seinem eigenen Zeitplan für die Einführung neuer Versionen von Container-Images folgen, um Schwachstellen zu beheben. Um diesem Szenario Rechnung zu tragen, können Sie mit Container Vulnerability Response die Granularität für angreifbare Elemente definieren: Gibt an, ob für jeden Kubernetes-Namespace/-Cluster/-Service ein eigenes angreifbares Element erstellt werden soll, auch für jede eindeutige Kombination aus Docker-Image-Version und Schwachstelle.

    VI-Granularität

    Im Beispiel sehen Sie zwei angreifbare Elemente, die für dieselbe Kombination aus Docker-Image und CVE erstellt wurden. Einer für den Kubernetes-Namespace „k8s-finservco-loans“ und einer für „k8s-finservco-wealthandinsurance“.

    Identifizieren Sie betroffene Services mithilfe der Tag-basierten Serviceidentifizierung
    Voraussetzungen
    • Identifizieren Sie verschiedene Services in Ihrer Anwendung, und definieren Sie die Tags/Schlüssel-Wert-Paare, die diese Services darstellen.
    • Stellen Sie Docker-Images und Kubernetes-Pods mit diesen Tags oder Bezeichnungen bereit.
    • ITOM Kubernetes Discovery bereitstellen Definieren Sie „Tag-basierte Services“ mit den richtigen Tags oder Bezeichnungen.
    • Stellen Sie ITOM Kubernetes Discovery bereit
    • Definieren Sie „Tag-basierte Services“ mit den richtigen Tags oder Schlüssel-Wert-Paaren.
    • Schwachstellendaten mit Container Vulnerability Responsein ServiceNow importieren

    Die Berechnung des Risikos für angreifbare Elemente kann anhand des CI (Docker-Image) und der Relevanz der zugehörigen Services in CMDBerfolgen. Um jedoch die Identifizierung betroffener Services zu erleichtern, bietet Container Vulnerability Response eine tagbasierte Serviceidentifizierung an.

    Wenn Kubernetes-Pods oder -Entitäten mit Schlüsselwerten oder Bezeichnungen veröffentlicht werden, die den Schlüsselwerten entsprechen, die in einem „Tag-basierten Service“ in ServiceNowdefiniert sind, stellt Container Vulnerability Response automatisch die Beziehung zwischen einem Docker-Image und dem betroffenen Anwendungsservice her und verwendet den Relevanz dieses Anwendungsservice bei der Risikoberechnung.

    Der Flow sieht wie folgt aus:
    1. Container Vulnerability Response importiert Schwachstellendaten aus dem Containersicherheitsprodukt.
    2. Für jedes angreifbare Container-Element füllt Container Vulnerability Response das Docker-Image aus CMDB, das die Schwachstelle aufweist.
    3. Container Vulnerability Response prüft dann die Docker-Image-Bezeichnungen oder die Bezeichnungen/Schlüssel-Werte, die mit Kubernetes-Pods veröffentlicht wurden, in denen dieses Image bereitgestellt wird. Dieses Image ist in CMDB verfügbar, wenn die Kubernetes-Discovery ausgeführt wird.
    4. Container Vulnerability Response sucht dann nach „Tag-basierten Services“ in CMDB, für die dieselben übereinstimmenden Schlüssel-Wert-Paare definiert sind.Risikoberechnung

      Risikoberechnung

    5. Container Vulnerability Response verwendet die „Geschäftskritikalität“ des übereinstimmenden „Tag-basierten Service“ (falls vorhanden), um das Risiko eines angreifbaren Containerelements zu berechnen.

      Risikoberechnung

      Risikoberechnung
    Nachverfolgung von Schwachstellen
    Korrekturziele festlegen

    ServiceNow ermöglicht es Schwachstellenmanagern, „Korrekturzielregeln“ zu definieren, um Servicelevel-Vereinbarungen (SLAs) zur Behebung von in Container-Images gefundenen Schwachstellen definieren zu können. Das Zieldatum für die Korrektur kann basierend auf einer Bedingung/einem Kriterium für Image-Metadaten oder Schwachstelleninformationen definiert werden. Korrekturbesitzer erhalten E-Mail-Benachrichtigungen zu den Schwachstellen, deren Fälligkeitsdatum näher rückt.Legen Sie das Korrekturziel fest

    Identifiziert behobene Schwachstellen

    Im Gegensatz zu Host-Schwachstellen, die durch Anwenden eines Patches auf einem Host behoben werden können, können Container-Schwachstellen nicht gepatcht werden. Neue Versionen von Container-Images müssen erstellt und bereitgestellt werden, um die älteren Versionen zu ersetzen. Die neuen Versionen haben im Vergleich zu den vorherigen Versionen einen anderen Bezeichner (Image-ID), wodurch es schwierig ist, nachzuverfolgen, welche Schwachstellen bereits behoben wurden.

    ServiceNow identifiziert Schwachstellen, die in früheren Versionen der Container-Images gemeldet, aber in der aktuellen Version des Images behoben wurden, und versetzt diese Schwachstellen automatisch in den Status „Geschlossen/Behoben“, sodass Sicherheitsteams immer einen genauen Einblick in die aktuelle Risikosituation haben.

    Ausnahmen verwalten

    Anwendungsteams oder für die Nachbesserung verantwortliche Personen müssen möglicherweise aus den folgenden Gründen eine Ausnahme anfordern.

    • Eine Ausgleichssteuerung ist bereits vorhanden
    • Risiko akzeptiert
    • Warten auf Wartungsfenster, um Korrektur zu veröffentlichen.

    ServiceNow Mit können Sicherheitsadministratoren mehrere Ebenen von Genehmigern für Ausnahmeanforderungen definieren. Sie können auch automatische Ausnahmeregeln definieren, die verwendet werden können, um Schwachstellen, die einer bestimmten Bedingung entsprechen, automatisch zurückzustellen.Ausnahmen

    Ausnahmen

    Neuigkeiten

    Weitere Informationen zu den Neuerungen und Änderungen in Xanadufinden Sie in den Versionshinweisen zu Xanadu.

    Erste Schritte

    • Eine Übersicht über Security Operations in Ihrer Instanz Now Platform finden Sie unter Security Operations verstehen.
    • Informationen zu allen Security Operations -Anwendungen, die von ServiceNow Storeheruntergeladen werden können, finden Sie unter Security Operations und ServiceNow Store.