(O+P)ut

アウトプット



(O+P)ut

エンジニアのアウトプット

【IBMCloud】SysdigSecureでコンテナイメージの脆弱性をスキャンする

スポンサーリンク

はじめに

IBM CloudではIBM Cloud Monitoring with Sysdigの機能の中で「Sysdig Secure on IBM Cloud」が利用でき、コンプライアンスの問題を確認するだけでなくネットワークセキュリティに関する情報を可視化することも可能です。

本記事ではOpenshift/Kubernetesにて利用している特定のイメージをスキャンする流れを記載しました。

コンテナイメージをScanする

ポータル画面から「リソースリスト」>「Services」>「IBM Cloud Monitoring with Sysdig」にてSydgig Secureのダッシュボードを開き、「Scanning」>「Runtime」と選択します。

すると各WorkerNodeに展開されているイメージが

Total Images Unscanned Failed Passed

という形式でサマリーが確認できます。

そこからスキャンされていない任意のイメージを選択すると

This image has not been scanned yet. Would you like to scan now?

と表示されるので、「Scan Now」を押下すると

Analysis in progress...

と表示されながら空欄だったImage DigestとImage IDに値が入り、しばらく経つと以下のように結果が表示されます。

f:id:mtiit:20210701181858p:plain
スキャン結果のサマリーがGUIで確認できる

逸脱箇所を確認する

サマリーページの「Breakdown」をクリックすると今回は以下のような項目が指摘されていました。

STOP|CVE-2020-1971|HIGH Vulnerability found in os package type (dpkg)|1.0.2g-1ubuntu4.18

CVE-2020-1971を確認すると

OpenSSL 1.1.1 および 1.0.2 のすべてのバージョンに存在する脆弱性

と確認ができ、同Pod内でバージョンを確認するとたしかに該当のバージョンのライブラリが含まれていました。

# openssl version
OpenSSL 1.0.2g  1 Mar 2016

終わりに

逸脱したポリシーには外部リンクが貼られていて何が問題なのかも確認が可能。

f:id:mtiit:20210701184034p:plain
クリックすると別ウインドウで詳細が確認できる
ボタンひとつでイメージの脆弱性が把握できるのでセキュリティ観点でシビアな環境では重宝すると思います。