ソフトウェア分解のためのコンテナイメージのスキャン
ITOM ヴィジビリティアプリ、ディスカバリーとサービスマッピングパターン、および Kubernetes ヴィジビリティエージェントは Aqua Trivy と統合され、コンテナイメージと OS パッケージに関するデータを収集します。コンテナコンポーネントを可視化することで、コンテナ展開の制御を強化できます。
イメージスキャンのメリット
- 規制やコンプライアンスのユースケースにおいて、コンテナにインストールされているソフトウェアを識別するのに役立ちます。
- これは、ゴールデンイメージ、古いソフトウェア、必須ラベル、構成ポリシーの使用など、会社のポリシーを遵守するのに役立ちます。
- また、コンテナで実行されているライセンス済みソフトウェアを管理するのにも役立ちます。
- タグやサービスメッシュを使用してサービスコンテキストを取得し、組織への影響を把握することもできます。
ITOM ヴィジビリティ によるイメージスキャンのユースケース
コンテナイメージのスキャンには、ディスカバリーとサービスマッピングパターンおよび Kubernetes ヴィジビリティエージェントの 2 つの ITOM ヴィジビリティアプリを使用できます。パターンは、ディスカバリー、クラウドディスカバリー、サービスマッピングで使用される機能セットです。Kubernetes ヴィジビリティエージェントはエージェントクライアントコレクターの機能です。Kubernetes ヴィジビリティエージェント (旧称 CNO-V) は、Kubernetes と動的なコンテナ化された作業負荷に適していますが、パターンベースディスカバリーは Kubernetes 以外の Docker コンテナにより適しています。
- ユースケース #1
- アプリケーションがコンテナイメージにパッケージ化されると、セキュリティの専門家がベースイメージと最終イメージを脆弱性のためにスキャンし、OS パッケージ、ソフトウェアの依存関係、アプリケーションレコードを特定できます。これは、特にコンテナ化された MSSQL サーバー向けです。
| 可視化方法 | 方法の特性 | 検出内容 |
|---|---|---|
|
ディスカバリーとサービスマッピングパターン および Aqua Trivy:
|
|
ディスカバリーとサービスマッピングパターンを使用して検出:
詳細については、以下を参照してください。
|
Kubernetes ヴィジビリティエージェントおよび Aqua Trivy:
|
Kubernetes ヴィジビリティエージェントベースのディスカバリーでは、認証情報のセットアップは不要で、MID サーバーも必要ありません。アクセスは ServiceAccount/ClusterRole を介して行われます。インストールは、Helm Chart または Kubernetes YAML ファイルを介して行われます。ディスカバリーはほぼリアルタイムで実行されます。 Kubernetes Explorer を使用して SBOM をダウンロードします。 |
Kubernetes ヴィジビリティエージェントを使用して検出:
|
- ユースケース #2
- コンプライアンス責任者は、SBOM を生成して、コンテナイメージの依存関係の詳細なリストを取得し、ソフトウェアが業界の規制に準拠していることを確認できます。
| 可視化方法 | 方法の特性 |
|---|---|
| Kubernetes パターンまたは Docker パターン | SBOM の作成はコンテナスキャンの一部です。 |
| Kubernetes ヴィジビリティエージェント | SBOM の作成もコンテナスキャンの一部ですが、ACC の使用は、完全な検出と継続的な検出の両方を実行する柔軟性を必要とする組織に最適です。 |
- ユースケース #3
-
エンジニアがカスタムビルドのイメージに欠陥を発見し、そのイメージを使用して実行中のすべての Kubernetes ポッドを特定する必要があります。
| 可視化方法 | 方法の特性 | 検出内容 |
|---|---|---|
| Kubernetesのパータン | Aqua Trivy コンテナのスキャンは必要ありません。パターンを使用してポッドを識別できます。 |
|
| クラウドディスカバリーを使用する Kubernetes パターン | Aqua Trivy コンテナのスキャンは必要ありません。パターンを使用してポッドを識別できます。 | 上記のすべてとアカウントまたはリージョンの詳細 |
- ユースケース #4
- エンジニアがカスタムビルドのイメージに欠陥を発見し、そのイメージを使用して実行中のすべての Docker コンテナ (非 Kubernetes) を特定する必要があります。
| 可視化方法 | 方法の特性 | 検出内容 |
|---|---|---|
| Docker を実行中の VM の水平ディスカバリー (Docker パターン) | Aqua Trivy コンテナのスキャンは必要ありません。パターンを使用してポッドを識別できます。 | 参照:Docker の仮想化 |
ディスカバリーとサービスマッピングパターンによるイメージスキャン
Kubernetes と Docker パターンは Aqua Trivy ツールと連携し、スケジュール済みジョブを実行して、1 分あたり 10 イメージの固定間隔でコンテナイメージと OS パッケージを検出します。スキャン中、パターンはスキャンステータスを示します。パターンは、イメージに関連する OS パッケージを検出します。次に、CI クラスなどのイメージコマンド属性を検索します。コマンド属性に基づいて、パターンはアプリケーションレコードを作成します。さらに、パターンは拡張スクリプトを使用してアプリケーションレコードに詳細を追加します。その後、パターンは OS パッケージとコンテナ間の関係をマッピングします。
データの一部は CMDB テーブルに入力され、一部は変換テーブル (非 CMDB 一時テーブル) に入力されます。変換テーブルは、パターンとともにインストールされます。たとえば、スキャンによって取得される情報には、元のレジストリ、ソフトウェア名、バージョンなどが含まれます。