はじめに
IBM CloudではIBM Cloud Monitoring with Sysdigの機能の中で「Sysdig Secure on IBM Cloud」が利用でき、コンプライアンスの問題を確認するだけでなくネットワークセキュリティに関する情報を可視化することも可能です。
本記事ではOpenshift/Kubernetesにて利用している特定のイメージをスキャンする流れを記載しました。
コンテナイメージをScanする
ポータル画面から「リソースリスト」>「Services」>「IBM Cloud Monitoring with Sysdig」にてSydgig Secureのダッシュボードを開き、「Scanning」>「Runtime」と選択します。
すると各WorkerNodeに展開されているイメージが
Total Images | Unscanned | Failed | Passed |
という形式でサマリーが確認できます。
そこからスキャンされていない任意のイメージを選択すると
This image has not been scanned yet. Would you like to scan now?
と表示されるので、「Scan Now」を押下すると
Analysis in progress...
と表示されながら空欄だったImage DigestとImage IDに値が入り、しばらく経つと以下のように結果が表示されます。
逸脱箇所を確認する
サマリーページの「Breakdown」をクリックすると今回は以下のような項目が指摘されていました。
STOP|CVE-2020-1971|HIGH Vulnerability found in os package type (dpkg)|1.0.2g-1ubuntu4.18
CVE-2020-1971を確認すると
OpenSSL 1.1.1 および 1.0.2 のすべてのバージョンに存在する脆弱性
と確認ができ、同Pod内でバージョンを確認するとたしかに該当のバージョンのライブラリが含まれていました。
# openssl version OpenSSL 1.0.2g 1 Mar 2016
終わりに
逸脱したポリシーには外部リンクが貼られていて何が問題なのかも確認が可能。ボタンひとつでイメージの脆弱性が把握できるのでセキュリティ観点でシビアな環境では重宝すると思います。