Vulnerability Response contêiner

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 10 min. de leitura

    • A aplicação ServiceNow® Vulnerability Response contêiner importa itens vulneráveis de contêiner (CVITs) e, de acordo com as regras, permite corrigir vulnerabilidades de contêiner. Os dados de vulnerabilidade são extraídos de fontes internas e externas, como o National Vulnerability Database (NVD) ou integrações de terceiros.

    A partir da versão 18.0 do Vulnerability Response, é possível monitorar e corrigir CVITs no Vulnerability Manager Workspace e no IT Remediation Workspace, respectivamente. Para obter mais informações, consulte Espaço para gerentes de vulnerabilidades e Explorando o Espaço de correção de problemas de TI.

    Solicitar aplicativos na Store

    Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.

    Benefícios

    A aplicação Vulnerability Response contêiner fornece os seguintes benefícios:
    • Integra-se a produtos de segurança de contêiner de terceiros, como o Prisma Cloud Compute da Palo Alto Networks.
    • Importa dados de vulnerabilidade para as imagens implantadas no tempo de execução e aprimora os dados de vulnerabilidade com informações contextuais de tempo de execução (hosts, clusters do Kubernetes, serviços e namespaces).
    • Fornece uma lista das referências criadas a partir de vulnerabilidades para as entidades relevantes do Kubernetes no Configuration Management Database (CMDB) usando ServiceNow Descoberta do Kubernetes.
    • Oferece um painel de relatórios abrangente, fornecendo informações sobre as tendências de vulnerabilidade e correção.

    Principais recursos

    A aplicação Vulnerability Response contêiner gerencia vulnerabilidades detectadas nos contêineres. Ele fornece os seguintes recursos:
    • Aponte para a imagem do Docker de origem de CVITs em vez de executar contêineres.
    • Configure a granularidade de CVITs para rastrear na imagem, no cluster do Kubernetes, no namespace ou no nível de serviço.
    • Rastreie novas versões de imagem para identificar vulnerabilidades corrigidas. Todas as vulnerabilidades relatadas em versões mais antigas são resolvidas automaticamente em ServiceNow quando novas versões de imagem são implantadas no tempo de execução.
    • Rastreie CVITs em imagens de base separadamente das imagens da aplicação para habilitar a correção independente.
    • Gere solicitações de exceção ou solicitações de falso-positivo, que podem ser revisadas por meio de um processo de aprovador de vários níveis.
    • Defina regras de exceção para adiar CVITs automaticamente.

    Casos de uso

    Os contêineres são uma ótima maneira de implantar e escalonar aplicações em vários ambientes com menos sobrecarga e maior portabilidade. No entanto, as vulnerabilidades nas imagens de contêiner podem representar risco para o host subjacente e, em última análise, para a infraestrutura em que os contêineres foram iniciados a partir dessas imagens. Embora existam muitos produtos de segurança de contêiner que verificam as imagens de contêiner em busca de vulnerabilidades, há algumas considerações e problemas associados à correção das vulnerabilidades. Vulnerability Response contêiner pode ajudar a resolver vários problemas ou casos de uso envolvidos na correção de vulnerabilidades de imagem de contêiner. Explore maneiras de aproveitar o módulo Vulnerability Response contêiner :
    Contexto de tempo de execução
    Vulnerabilidades em imagens de contêiner podem ser descobertas verificando a imagem nas seguintes fases do ciclo de vida da aplicação.
    • Fase 1: quando as imagens estão sendo criadas no pipeline de IC/CD.
    • Fase 2: quando as imagens são publicadas no registro
    • Fase 3: quando as imagens são implantadas no tempo de execução.
    Embora seja importante identificar vulnerabilidades o mais cedo possível na fase 1 e na fase 2, é igualmente importante executar uma verificação nas imagens implantadas em um ambiente de tempo de execução. Ele oferece os seguintes benefícios:
    • Identificar novas vulnerabilidades e exposições comuns (CVEs) que foram publicadas.
    • Fornece visibilidade precisa da postura de risco das aplicações implantadas.
    • Priorização de vulnerabilidades que devem ser resolvidas. O contexto de tempo de execução em termos de serviços de aplicações ou serviços de negócios afetados devido a uma vulnerabilidade pode ajudar na priorização.

    Vulnerability Response contêiner se integra a produtos de segurança de contêiner, como Prisma Cloud Compute de Palo Alto Networks para extrair os dados de vulnerabilidade das imagens implantadas no tempo de execução e enriquece os dados de vulnerabilidade com as informações contextuais do tempo de execução, como hosts, clusters do Kubernetes, serviços e namespaces onde essas imagens de contêiner são implantadas. Os clientes que usam a descoberta ServiceNow do Kubernetes podem ver as referências criadas a partir de vulnerabilidades para as entidades relevantes do Kubernetes em seus Configuration Management Database (CMDB). Além de aprimorar os metadados, o ServiceNow também oferece um painel de relatórios abrangente para fornecer informações sobre as tendências de vulnerabilidade e correção.Contexto de tempo de execução

    Identificar propriedade
    Pré-requisitos

    • Metadados e referências do Kubernetes: para que Vulnerability Response contêiner preencha metadados do Kubernetes (namespace, cluster e assim por diante) e referências a Configuration Management Database (CMDB) entradas, você deve implementar a descoberta do Kubernetes de Information Technology Operations Management (ITOM). A descoberta do Kubernetes preenche a imagem do Docker, os contêineres do Docker em execução, pods, clusters do Kubernetes e assim por diante, no CMDB. Vulnerability Response contêiner identifica a imagem do Docker em CMDB com base no ID da imagem e, em seguida, identifica as entidades do Kubernetes relacionadas e preenche as referências a essas entidades de itens vulneráveis.

    • Metadados em nuvem e rótulos de imagem do Docker: Vulnerability Response contêiner também preenche rótulos de imagem do Docker, IDs de conta de nuvem, regiões onde uma imagem é implantada. Esses dados são mantidos no registro "Imagem de contêiner descoberta" associado ao item vulnerável. Não há pré-requisitos para que esses dados sejam preenchidos. Vulnerability Response contêiner usa os dados retornados por produtos de segurança de contêiner (por exemplo, Palo Alto Prisma Cloud Compute) para preencher essas entradas.

    A propriedade de corrigir uma vulnerabilidade em uma imagem de contêiner pode variar de organização para organização. Essas informações podem ser capturadas em locais diferentes. Algumas organizações usam rótulos de imagem do Docker como uma forma de identificar as equipes de aplicações que possuem uma determinada imagem de contêiner, enquanto outras organizações podem usar o namespace do Kubernetes ou a conta de nuvem em que uma imagem de contêiner é implantada para identificar o proprietário certo.

    Vulnerability Response contêiner fornece os elementos de modelo de dados necessários para capturar e usar os rótulos de imagem do Docker, os metadados de cluster/serviço/namespace do Kubernetes ou os metadados da conta de nuvem (ID da conta de nuvem, região, provedor e assim por diante) nas "Regras de atribuição" e atribua vulnerabilidades automaticamente à equipe de aplicações certa com base nos metadados da imagem ou no ambiente de tempo de execução.

    Identificação da propriedade

    Rastrear vulnerabilidades nas imagens de base
    Pré-requisitos

    Para que a propriedade "Imagem de base" seja preenchida em Vulnerability Response contêiner, as imagens de base devem ser configuradas explicitamente no console Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute. Para obter mais informações sobre como configurar imagens de base no Prisma Cloud, consulte https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-calculate/vulnerability_management/base_images.

    Vulnerability Response contêiner permite a criação de registros de vulnerabilidade separados para uma camada base para que eles possam ser atribuídos a uma equipe diferente.

    Rastreie as vulnerabilidades identificadas em uma imagem do SO base, como o Alpine, a partir das vulnerabilidades detectadas em outras camadas da imagem do contêiner. Muitas organizações têm equipes dedicadas que são responsáveis por corrigir imagens do SO base e disponibilizá-las para todas as equipes de aplicações. imagem de base

    Definir granularidade para itens vulneráveis
    Pré-requisitos

    Configure a granularidade de CVITs navegando até Todos > Vulnerability Response do contêiner > Administração > Configurar granularidade de IV.

    Granularidade de IV

    Por padrão, um item vulnerável é criado para cada combinação exclusiva de CVE e a versão da imagem do Docker (referência + marcador). No entanto, algumas imagens do Docker podem ser implantadas em mais de um namespace do Kubernetes e cada namespace pode pertencer a diferentes unidades de negócios ou equipes. Cada equipe pode seguir sua própria cadência para implantar novas versões de imagens de contêiner para corrigir vulnerabilidades. Para acomodar este cenário, Vulnerability Response contêiner permite que você defina a granularidade para itens vulneráveis: se um item vulnerável deve ser criado para cada namespace/cluster/serviço do Kubernetes, mesmo para cada combinação exclusiva de versão e vulnerabilidade da imagem do Docker.

    Granularidade de IV

    No exemplo, você pode ver dois itens vulneráveis criados para a mesma combinação de imagem do Docker e CVE. Um para o namespace do Kubernetes "k8s-finservco-loans" e o outro para "k8s-finservco-wealthandinsurance".

    Identifique serviços afetados usando a identificação de serviço baseada em marcador
    Pré-requisitos
    • Identifique vários serviços em sua aplicação e defina os marcadores/pares de chave-valor que representam esses serviços.
    • Implante imagens do Docker e pods do Kubernetes com essas tags ou rótulos.
    • Implantar o ITOM Kubernetes Discovery Defina "Serviços baseados em marcador" com os marcadores ou rótulos corretos.
    • Implantar ITOM Kubernetes Discovery
    • Defina "Serviços baseados em marcador" com os marcadores corretos ou pares de chave-valor.
    • Importar dados de vulnerabilidade para ServiceNow usando Vulnerability Response contêiner

    O cálculo de risco para itens vulneráveis pode ser feito observando o IC (imagem do Docker) e a criticidade dos serviços associados em CMDB. No entanto, para facilitar a identificação dos serviços afetados, Vulnerability Response contêiner oferece identificação de serviço baseada em marcador.

    Quando os pods ou entidades do Kubernetes são publicados com valores-chave ou rótulos correspondentes aos valores-chave definidos em qualquer "Serviço baseado em marcador" em ServiceNow, Vulnerability Response contêiner estabelece automaticamente o relacionamento entre uma imagem do Docker e o serviço de aplicações afetado e usa o criticidade desse serviço de aplicativos no cálculo de risco.

    O fluxo é o seguinte:
    1. Vulnerability Response contêiner importa dados de vulnerabilidade do produto de segurança do contêiner.
    2. Para cada item vulnerável de contêiner, Vulnerability Response contêiner preenche a imagem do Docker de CMDB que tem a vulnerabilidade.
    3. Vulnerability Response contêiner O analisa os rótulos da imagem do Docker ou os rótulos/valores-chave publicados com os pods do Kubernetes em que esta imagem está implantada. Esta imagem estará disponível em CMDB se você tiver a descoberta do Kubernetes em execução.
    4. Vulnerability Response contêiner pesquisa "Serviços baseados em marcador" em CMDB com os mesmos pares de chave-valor correspondentes definidos.Cálculo de risco

      Cálculo de risco

    5. Vulnerability Response contêiner O usa a "Criticidade dos negócios" do "Serviço baseado em marcador" correspondente (se houver algum encontrado) para calcular o risco de um item vulnerável de contêiner.

      Cálculo de risco

      Cálculo de risco
    Vulnerabilidades de acompanhamento
    Definir destinos de correção

    ServiceNow permite que os gerentes de vulnerabilidade definam "Regras de destino de correção" para definir acordos de nível de serviço (ANSs) para corrigir vulnerabilidades encontradas em imagens de contêiner. A data de destino da correção pode ser definida com base em uma condição/critério nos metadados da imagem ou nas informações de vulnerabilidade. Os responsáveis pela correção recebem comunicação por e-mail sobre as vulnerabilidades que estão se aproximando do prazo.Definir destino de correção

    Identificar vulnerabilidades corrigidas

    Ao contrário das vulnerabilidades de host que podem ser corrigidas aplicando um patch em um host, as vulnerabilidades de contêiner não podem ser corrigidas. Novas versões de imagens de contêiner devem ser criadas e implantadas para substituir as versões mais antigas. As novas versões têm um identificador diferente (ID de imagem) em comparação com as versões anteriores, o que dificulta o acompanhamento de quais vulnerabilidades já foram corrigidas.

    ServiceNow identifica vulnerabilidades que foram relatadas nas versões anteriores das imagens do contêiner, mas resolvidas na versão mais recente da imagem e move automaticamente essas vulnerabilidades para o estado "Encerrado/Corrigido" para que as equipes de segurança sempre tenham visibilidade precisa da postura de risco mais recente.

    Gerenciar exceções

    As equipes de aplicações ou os responsáveis pela correção das vulnerabilidades podem precisar da capacidade de solicitar uma exceção pelos seguintes motivos.

    • Um controle de mitigação já está em vigor
    • Risco aceito
    • Aguardando a janela de manutenção para enviar a correção.

    ServiceNow permite que os administradores de segurança definam vários níveis de aprovadores para solicitações de exceção. Você também pode definir regras de exceção automática que podem ser usadas para adiar automaticamente as vulnerabilidades que correspondem a uma determinada condição.Exceções

    Exceções

    Novidades

    Para saber mais sobre o que há de novo e o que mudou em Washington DC, consulte as notas de versão Washington DC.

    Iniciar