はじめに
IBM CloudではIBM Cloud Monitoring with Sysdigの機能の中で「Sysdig Secure on IBM Cloud」が利用でき、コンプライアンスの問題を確認するだけでなくネットワークセキュリティに関する情報を可視化することも可能です。
本記事ではOpenshift/Kubernetesにて利用している特定のイメージをスキャンする流れを記載しました。
コンテナイメージをScanする
ポータル画面から「リソースリスト」>「Services」>「IBM Cloud Monitoring with Sysdig」にてSydgig Secureのダッシュボードを開き、「Scanning」>「Runtime」と選択します。
すると各WorkerNodeに展開されているイメージが
| Total Images | Unscanned | Failed | Passed |
という形式でサマリーが確認できます。
そこからスキャンされていない任意のイメージを選択すると
This image has not been scanned yet. Would you like to scan now?
と表示されるので、「Scan Now」を押下すると
Analysis in progress...
と表示されながら空欄だったImage DigestとImage IDに値が入り、しばらく経つと以下のように結果が表示されます。
逸脱箇所を確認する
サマリーページの「Breakdown」をクリックすると今回は以下のような項目が指摘されていました。
STOP|CVE-2020-1971|HIGH Vulnerability found in os package type (dpkg)|1.0.2g-1ubuntu4.18
CVE-2020-1971を確認すると
OpenSSL 1.1.1 および 1.0.2 のすべてのバージョンに存在する脆弱性
と確認ができ、同Pod内でバージョンを確認するとたしかに該当のバージョンのライブラリが含まれていました。
# openssl version OpenSSL 1.0.2g 1 Mar 2016
終わりに
逸脱したポリシーには外部リンクが貼られていて何が問題なのかも確認が可能。
