Verificação de imagem de contêiner para decomposição de software

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Os aplicativos Visibilidade do ITOM, Padrões de descoberta e mapeamento de serviços e Kubernetes Visibility Agent se integram com Aqua Trivy para coletar dados em imagens de contêiner e pacotes de SO. Você pode aumentar seu controle sobre a implantação do contêiner, tendo visibilidade dos componentes do contêiner.

    Verificação de imagem de contêiner para diagrama de decomposição de software

    Benefícios da verificação de imagem

    A verificação de seus contêineres fornece visibilidade sobre o que está dentro de contêineres Kubernetes ou Docker ou pacotes do SO. A digitalização de imagens pode ajudá-lo de várias maneiras.
    • Ele ajuda a identificar o software instalado em contêineres para casos de uso regulatórios e de conformidade.
    • Isso ajuda você a aderir às políticas da empresa, como uso de imagens douradas, software desatualizado, rótulos obrigatórios ou políticas de configuração​.
    • Também ajuda a gerenciar o software licenciado em execução em contêineres​.
    • Você também pode obter o contexto de serviço​ usando marcadores e malha de serviço para entender o impacto deles na sua organização.

    Casos de uso de verificação de imagem com Visibilidade do ITOM

    Você pode usar dois aplicativos Visibilidade do ITOM para verificar imagens de contêiner, Padrões de descoberta e mapeamento de serviços e Kubernetes Visibility Agent. Padrões é um conjunto de recursos usado por Descoberta, Descoberta na nuveme Mapeamento de serviços. Kubernetes Visibility Agent é um recurso do Agent Client Collector. Embora o Kubernetes Visibility Agent (anteriormente conhecido como CNO-V) seja mais adequado para cargas de trabalho em contêineres Kubernetes e dinâmicas, a descoberta baseada em padrões é mais adequada para contêineres não Kubernetes Docker.

    Caso de uso nº 1
    Depois que uma aplicação é empacotada em imagens de contêiner, um profissional de segurança pode verificar a imagem base e a imagem final em busca de vulnerabilidades e identificar pacotes de SO, dependências de software e registros de aplicações. Isso é especificamente para MSSQL Server em contêiner.
    Tabela 1. Métodos de visibilidade para o caso de uso nº 1
    Métodos de visibilidade Características do método O que foi descoberto
    Padrões de descoberta e mapeamento de serviços e Aqua Trivy:
    • Mais adequado para implantações auto-hospedadas ou na nuvem Kubernetes com acesso a credenciais e tokens do portador.
    • Oferece suporte à verificação de imagem de repositório público e auto-hospedado.
    • Descoberta baseada em padrão sem descoberta na nuvem:
      • Usa um token do portador.
      • Programação de descoberta Kubernetes criada manualmente por cluster.
    • Descoberta baseada em padrão com Descoberta na nuvem:
      • Nenhum token de portador necessário.
      • Usa credenciais de nuvem.
      • Criação automática de Kubernetes programação de descoberta.
    • Para obter mais informações sobre como digitalizar imagens usando Aqua Trivy, consulte Verificar imagens de contêiner.

    Descoberto usando Padrões de descoberta e mapeamento de serviços:

    • Kubernetes clusters
    • Kubernetes Serviços
    • Kubernetes topologia
    • Docker contêineres e imagens
    • Kubernetes implantação, incluindo o OpenShift
    • Namespace
    • Rótulos e marcadores
    • Software em contêineres
    • Os detalhes da região da conta só podem ser descobertos por Descoberta na nuvem
    • O padrão Docker coleta dados sobre objetos específicos em um mecanismo do Docker, em execução em um host Linux
    Para obter mais informações, consulte:
    Kubernetes Agente de visibilidade e Aqua Trivy:
    • Mais adequado para implantação por equipes de aplicações nativas da nuvem.
    • Capacidade opcional de monitorar Kubernetes com AIOps.
    • Para ambientes de nuvem, somente o AWS ECR (Público e Privado) é compatível.

    Kubernetes A descoberta baseada no Agente de visibilidade não requer configuração de credencial e não precisa de MID Server. O acesso é feito por meio de ServiceAccount/ClusterRole. A instalação é feita por meio de Gráfico do Helm ou Kubernetes arquivo YAML. A descoberta é executada quase em tempo real.

    Use Kubernetes o Explorer para baixar SBOM.

    Descoberto usando Kubernetes Agente de visibilidade

    • Kubernetes Namespaces
    • Nós e pods
    • Implantações
    • Statefulsets
    • Daemonsets
    • Replicasets
    • Trabalhos
    • Cronjobs
    • Serviços
    • Docker contêiner
    • Imagem de Docker
    • Repositório de contêineres
    • Os detalhes da região da conta só podem ser descobertos por Descoberta na nuvem
    Caso de uso nº 2
    Um responsável pela conformidade pode gerar um SBOMpara obter uma lista detalhada das dependências da imagem do contêiner e para garantir que o software esteja em conformidade com as regulamentações do setor.
    Tabela 2. Métodos de visibilidade para o caso de uso nº 2
    Método de visibilidade Características do método
    Kubernetes padrão ou Docker padrão SBOM A criação faz parte da verificação do contêiner.
    Kubernetes Agente de visibilidade SBOM A criação também faz parte da verificação do contêiner, , mas o uso do ACC é mais adequado para organizações que precisam de flexibilidade para executar a descoberta completa e contínua.
    Caso de uso nº 3

    Um engenheiro encontrou um defeito em uma imagem personalizada e precisa encontrar todos os Kubernetes pods que estão sendo executados usando essa imagem.

    Tabela 3. Métodos de visibilidade para o caso de uso nº 3
    Método de visibilidade Características do método O que foi descoberto
    Kubernetes padrão Aqua Trivy a verificação de contêiner não é necessária. Você pode identificar os pods usando Padrões.
    • Kubernetes Clusters
    • Kubernetes Contêineres
    • Kubernetes Serviços
    • Rótulos
    • Pods
    • Imagens
    • Marcadores
    Kubernetes padrão com Descoberta na nuvem Aqua Trivy a verificação de contêiner não é necessária. Você pode identificar os pods usando Padrões. Todos os itens acima e detalhes da conta ou região
    Caso de uso nº 4
    Um engenheiro encontra um defeito em uma imagem personalizada e precisa encontrar todos os Docker contêineres (não Kubernetes) que estão sendo executados usando essa imagem.
    Método de visibilidade Características do método O que foi descoberto
    Descoberta horizontal de VM em execução Docker (padrãoDocker ) Aqua Trivy a verificação de contêiner não é necessária. Você pode identificar os pods usando Padrões. Consulte: Virtualização do Docker

    Verificação de imagem com Padrões de descoberta e mapeamento de serviços

    Os padrõesKubernetes e Docker se integram à ferramenta Aqua Trivy e executam trabalhos agendados para descobrir imagens de contêiner e pacotes de SO em intervalos fixos de 10 imagens por minuto. Durante a verificação, o padrão indica o status da verificação. O padrão descobre pacotes do SO que estão relacionados a uma imagem. Em seguida, ele encontra os atributos do comando de imagem, como a classe de IC. Com base nos atributos de comando, o padrão cria registros de aplicações. Além disso, o padrão usa scripts aprimorados para adicionar detalhes aos registros da aplicação. Depois disso, o padrão mapeia as relações entre os pacotes do SO e os contêineres.

    Parte dos dados é preenchida em tabelas CMDB e parte deles em tabelas de transformação (tabelas temporárias não pertencentes ao CMDB). As tabelas de transformação são instaladas com o padrão. Por exemplo, as informações obtidas com a verificação incluem registro de origem, nome do software e versão.