Contêiner de Resposta a vulnerabilidades

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 10 min. de leitura

    • A aplicação ServiceNow® Contêiner de Resposta a vulnerabilidades importa itens vulneráveis de contêiner (CVITs) e, de acordo com as regras, permite que você corrija vulnerabilidades de contêiner. Os dados de vulnerabilidade são extraídos de fontes internas e externas, como o National Vulnerability Database (NVD) ou integrações de terceiros.

    A partir da versão 18.0 do Resposta a vulnerabilidades, você pode monitorar e corrigir CVITs no Espaço do gerenciador de vulnerabilidades e no Espaço de correção de TI, respectivamente. Para obter mais informações, consulte Vulnerability Manager Workspace e Explorar o Espaço de correção de problemas de TI.

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.

    Benefícios

    A aplicação Contêiner de Resposta a vulnerabilidades oferece os seguintes benefícios:
    • Integra-se a produtos de segurança de contêiner de terceiros, como o Prisma Cloud Compute da Palo Alto Networks.
    • Importa dados de vulnerabilidade para as imagens implantadas no tempo de execução e aprimora os dados de vulnerabilidade com informações contextuais de tempo de execução (hosts, clusters do Kubernetes, serviços e namespaces).
    • Fornece uma lista das referências criadas a partir de vulnerabilidades para as entidades relevantes do Kubernetes no Configuration Management Database (CMDB) usando ServiceNow a Descoberta do Kubernetes.
    • Oferece um painel de relatórios abrangente, fornecendo informações sobre as tendências de vulnerabilidade e correção.

    Principais recursos

    A aplicação Contêiner de Resposta a vulnerabilidades gerencia vulnerabilidades detectadas nos contêineres. Ele fornece os seguintes recursos:
    • Aponte para a imagem do Docker de origem de CVITs em vez de executar contêineres.
    • Configure a granularidade de CVITs para rastrear na imagem, no cluster do Kubernetes, no namespace ou no nível de serviço.
    • Rastreie novas versões de imagem para identificar vulnerabilidades corrigidas. Todas as vulnerabilidades relatadas em versões mais antigas são resolvidas automaticamente em ServiceNow quando novas versões de imagem são implantadas no tempo de execução.
    • Rastreie CVITs em imagens de base separadamente das imagens da aplicação para habilitar a correção independente.
    • Gere solicitações de exceção ou solicitações de falso-positivo, que podem ser revisadas por meio de um processo de aprovador de vários níveis.
    • Defina regras de exceção para adiar CVITs automaticamente.

    Casos de uso

    Os contêineres são uma ótima maneira de implantar e escalonar aplicações em vários ambientes com menos sobrecarga e maior portabilidade. No entanto, as vulnerabilidades nas imagens de contêiner podem representar risco para o host subjacente e, por fim, para a infraestrutura em que os contêineres foram iniciados a partir dessas imagens. Embora existam muitos produtos de segurança de contêiner que verificam imagens de contêiner em busca de vulnerabilidades, há algumas considerações e problemas associados à correção das vulnerabilidades. Contêiner de Resposta a vulnerabilidades pode ajudar a resolver vários problemas ou casos de uso envolvidos na correção de vulnerabilidades de imagem de contêiner. Explore maneiras de aproveitar o módulo Contêiner de Resposta a vulnerabilidades :
    Contexto de tempo de execução
    As vulnerabilidades em imagens de contêiner podem ser descobertas com a verificação da imagem nas seguintes fases do ciclo de vida da aplicação.
    • Fase 1: quando as imagens estão sendo criadas no pipeline de IC/CD.
    • Fase 2: quando as imagens são publicadas no registro
    • Fase 3: quando as imagens são implantadas no tempo de execução.
    Embora seja importante identificar vulnerabilidades o mais cedo possível na fase 1 e na fase 2, é igualmente importante executar uma verificação nas imagens implantadas em um ambiente de tempo de execução. Ele oferece os seguintes benefícios:
    • Identificar novas vulnerabilidades e exposições comuns (CVEs) que foram publicadas.
    • Fornecer visibilidade precisa sobre a postura de risco das aplicações implantadas.
    • Priorização de vulnerabilidades que devem ser resolvidas. O contexto do tempo de execução em termos dos serviços de aplicações ou serviços de negócios afetados devido a uma vulnerabilidade pode ajudar na priorização.

    Contêiner de Resposta a vulnerabilidades se integra a produtos de segurança de contêiner, como o Prisma Cloud Compute de Palo Alto Networks, para extrair os dados de vulnerabilidade das imagens implantadas no tempo de execução e aprimora os dados de vulnerabilidade com as informações contextuais do tempo de execução, como hosts, clusters do Kubernetes, serviços e namespaces em que essas imagens de contêiner estão implantadas. Os clientes que usam a ServiceNow descoberta do Kubernetes podem ver as referências criadas a partir de vulnerabilidades para as entidades relevantes do Kubernetes em seus Configuration Management Database (CMDB). Além de aprimorar os metadados, o ServiceNow também oferece um painel de relatórios abrangente para fornecer informações sobre as tendências de vulnerabilidade e correção.Contexto do tempo de execução

    Identificar propriedade
    Pré-requisitos

    • Metadados e referências do Kubernetes: para que Contêiner de Resposta a vulnerabilidades preencha metadados do Kubernetes (namespace, cluster e assim por diante) e referências a Configuration Management Database (CMDB) entradas, você deve implementar a descoberta do Kubernetes de Information Technology Operations Management (ITOM). A descoberta do Kubernetes preenche a imagem do Docker, os contêineres do Docker em execução, pods, clusters do Kubernetes e assim por diante, no CMDB. Contêiner de Resposta a vulnerabilidades identifica a imagem do Docker em CMDB com base no ID da imagem e, em seguida, identifica as entidades do Kubernetes relacionadas e preenche as referências a essas entidades de itens vulneráveis.

    • Metadados em nuvem e rótulos de imagem do Docker: Contêiner de Resposta a vulnerabilidades também preenche rótulos de imagem do Docker, IDs de conta em nuvem, regiões onde uma imagem é implantada. Esses dados são mantidos no registro “Imagem de contêiner descoberta” associado ao item vulnerável. Não há pré-requisitos para que esses dados sejam preenchidos. Contêiner de Resposta a vulnerabilidades usa os dados retornados por produtos de segurança de contêiner (por exemplo, Palo Alto Prisma Cloud Compute) para preencher essas entradas.

    A propriedade para corrigir uma vulnerabilidade em uma imagem de contêiner pode variar de organização para organização. Essas informações podem ser capturadas em locais diferentes. Algumas organizações usam rótulos de imagem do Docker como uma maneira de identificar as equipes de aplicações que possuem uma determinada imagem de contêiner, enquanto outras organizações podem usar o namespace do Kubernetes ou a conta de nuvem em que uma imagem de contêiner é implantada para identificar o proprietário correto.

    Contêiner de Resposta a vulnerabilidades fornece os elementos de modelo de dados necessários para capturar e usar os rótulos de imagem do Docker, os metadados de cluster/serviço/namespace do Kubernetes ou os metadados da conta em nuvem (ID da conta na nuvem, região, provedor e assim por diante) nas "Regras de atribuição" módulo e atribua vulnerabilidades automaticamente à equipe de aplicações certa com base nos metadados da imagem ou no ambiente de tempo de execução.

    Identificação de propriedade

    Rastrear vulnerabilidades nas imagens de base
    Pré-requisitos

    Para que a propriedade "Imagem de base" seja preenchida em Contêiner de Resposta a vulnerabilidades, as imagens de base devem ser configuradas explicitamente no console de Integração de Resposta a vulnerabilidades com Palo Alto Networks Prisma Cloud Compute. Para obter mais informações sobre como configurar imagens de base no Prisma Cloud, consulte https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-calculate/vulnerability_management/base_images.

    Contêiner de Resposta a vulnerabilidades permite a criação de registros de vulnerabilidade separados para uma camada base para que eles possam ser atribuídos a uma equipe diferente.

    Rastreie as vulnerabilidades identificadas em uma imagem do SO de base, como o Alpine, a partir das vulnerabilidades detectadas em outras camadas da imagem do contêiner. Muitas organizações têm equipes dedicadas que são responsáveis por corrigir imagens do SO de base e disponibilizá-las para todas as equipes de aplicações. imagem base

    Definir granularidade para itens vulneráveis
    Pré-requisitos

    Configure a granularidade de CVITs navegando até Todos > Resposta a vulnerabilidades do contêiner > Administração > Configurar granularidade de IV.

    Granularidade de VI

    Por padrão, um item vulnerável é criado para cada combinação exclusiva de CVE e a versão da imagem do Docker (referência + marcador). No entanto, algumas imagens do Docker podem ser implantadas em mais de um namespace do Kubernetes e cada namespace pode pertencer a diferentes unidades de negócios ou equipes. Cada equipe pode seguir sua própria cadência para implantar novas versões de imagens de contêiner para corrigir vulnerabilidades. Para acomodar este cenário, Contêiner de Resposta a vulnerabilidades permite definir granularidade para itens vulneráveis: se um item vulnerável deve ser criado para cada namespace/cluster/serviço do Kubernetes, mesmo para cada combinação exclusiva de versão e vulnerabilidade da imagem do Docker.

    Granularidade de VI

    No exemplo, você pode ver dois itens vulneráveis criados para a mesma combinação de imagem do Docker e CVE. Um para o namespace do Kubernetes 'k8s-finservco-loans' e outro para 'k8s-finservco-wealthandinsurance'.

    Identifique os serviços afetados usando a identificação de serviço baseada em tag
    Pré-requisitos
    • Identifique vários serviços em sua aplicação e defina os pares de marcadores/chave-valor que representam esses serviços.
    • Implante imagens do Docker e pods do Kubernetes com esses marcadores ou rótulos.
    • Implantar ITOM Kubernetes Descoberta Defina "Serviços baseados em tag" com as tags ou rótulos corretos.
    • Implantar ITOM Kubernetes Discovery
    • Defina "Serviços baseados em tag" com as tags ou pares de chave-valor corretos.
    • Importar dados de vulnerabilidade para ServiceNow usando Contêiner de Resposta a vulnerabilidades

    O cálculo de risco para itens vulneráveis pode ser feito observando o IC (imagem do Docker) e a criticidade dos serviços associados em CMDB. No entanto, para facilitar a identificação de serviços afetados, Contêiner de Resposta a vulnerabilidades oferece identificação de serviço baseada em tag.

    Quando pods ou entidades do Kubernetes são publicados com valores-chave ou rótulos correspondentes aos valores-chave definidos em qualquer "Serviço baseado em marcador" em ServiceNow, Contêiner de Resposta a vulnerabilidades estabelece automaticamente o relacionamento entre uma imagem do Docker e o serviço de aplicações afetado e usa o criticidade desse serviço de aplicações no cálculo de risco.

    O fluxo é o seguinte:
    1. Contêiner de Resposta a vulnerabilidades importa dados de vulnerabilidade do produto de segurança de contêiner.
    2. Para cada item vulnerável de contêiner, Contêiner de Resposta a vulnerabilidades preenche a imagem do Docker de CMDB que tem a vulnerabilidade.
    3. Contêiner de Resposta a vulnerabilidades O analisa os rótulos de imagem do Docker ou os rótulos/valores-chave publicados com os pods do Kubernetes em que esta imagem está implantada. Esta imagem estará disponível em CMDB se você tiver a descoberta do Kubernetes em execução.
    4. Contêiner de Resposta a vulnerabilidades pesquisa "Serviços baseados em marcador" em CMDB com os mesmos pares de chave-valor correspondentes definidos.Cálculo de risco

      Cálculo de risco

    5. Contêiner de Resposta a vulnerabilidades usa a “Criticidade dos negócios” do “Serviço baseado em marcador” correspondente (se houver algum encontrado) para calcular o risco de um item vulnerável de contêiner.

      Cálculo de risco

      Cálculo de risco
    Rastreamento de vulnerabilidades
    Definir metas de correção

    ServiceNow permite que os gerentes de vulnerabilidade definam "Regras de meta de correção" para definir acordos de nível de serviço (ANS) para corrigir vulnerabilidades encontradas em imagens de contêiner. A data de meta de correção pode ser definida com base em uma condição/critério em metadados de imagem ou informações de vulnerabilidade. Os responsáveis pela correção recebem comunicação por e-mail sobre as vulnerabilidades que estão se aproximando do prazo.Definir meta de correção

    Identificação de vulnerabilidades corrigidas

    Ao contrário das vulnerabilidades de host que podem ser corrigidas pela aplicação de um patch em um host, as vulnerabilidades de contêiner não podem ser corrigidas. Novas versões de imagens de contêiner devem ser criadas e implantadas para substituir as versões mais antigas. As novas versões têm um identificador diferente (ID de imagem) em comparação com as versões anteriores, o que torna um desafio acompanhar quais vulnerabilidades já foram corrigidas.

    ServiceNow identifica vulnerabilidades que foram relatadas nas versões anteriores das imagens de contêiner, mas resolvidas na versão mais recente da imagem e move automaticamente essas vulnerabilidades para o estado "Fechado/Corrigido" para que as equipes de segurança sempre tenham visibilidade precisa da postura de risco mais recente.

    Gerenciar exceções

    As equipes de aplicações ou responsáveis pela correção das vulnerabilidades podem precisar da capacidade de solicitar uma exceção devido aos motivos a seguir.

    • Um controle de mitigação já está em vigor
    • Risco aceito
    • Aguardando janela de manutenção para enviar a correção.

    ServiceNow permite que os administradores de segurança definam vários níveis de aprovadores para solicitações de exceção. Você também pode definir regras de exceção automática que podem ser usadas para adiar automaticamente vulnerabilidades correspondentes a uma determinada condição.Exceções

    Exceções

    Novidades

    Para saber mais sobre o que há de novo e o que mudou em Xanadu, consulte as Xanadu notas de versão.

    Iniciar

    • Para obter uma visão geral sobre Operações de segurança em sua instância Now Platform, consulte Noções básicas sobre Operações de segurança.
    • Para obter informações sobre todas as aplicações Operações de segurança disponíveis para download em ServiceNow Store, consulte Operações de segurança e a ServiceNow Store.