Link Search Menu Expand Document

Découvertes Docker

Les découvertes Docker permettent de lister un ensemble d’images Docker à partir d’un registre ou encore d’un déploiement existant. Les images Docker découvertes peuvent ensuite être ajoutées par une action groupée à Cyberwatch afin d’être scannées.

Registres Docker

Si vous disposez d’un registre Docker privé, ainsi que d’un compte de services ayant la permission d’énumérer son catalogue d’images, vous pouvez créer une découverte d’actifs dans Cyberwatch pour lister automatiquement les images disponibles.

Afin d’utiliser les découvertes d’images Docker, vous devez d’abord enregistrer votre registre Docker depuis le menu Identifiants enregistrés. Vous pourrez ensuite lancer la découverte depuis le menu Découvertes, en cliquant sur le bouton Ajouter puis sur Registre Docker dans la partie Images Docker et en choisissant votre registre comme Identifiants.

Si le registre est bien configuré, la découverte listera l’ensemble des images trouvées ainsi que l’ensemble de leurs tags.

Docker Swarm

Les découvertes Docker Swarm permettent de lister l’ensemble des images disponibles localement sur un moteur d’exécution Docker. Elles s’appliquent pour les déploiements Docker Swarm, mais ne s’y limitent pas : tout daemon Docker est compatible.

Seules les images associées à un tag sont reconnues, ce qui exclut toutes les images intermédiaires, où encore celles spécifiées par ID.

Un jeu d’identifiant Moteur d’exécution Docker est requis pour ce type de découverte. Leur création est décrite dans la documentation sur les images Docker.

Un fois le jeu d’identifiant prêt, vous pourrez créer la découverte Docker Swarm depuis le menu Découvertes, en cliquant sur le bouton Ajouter puis sur Docker Swarm dans la partie Images Docker.

Kubernetes

Si vous disposez d’un cluster Kubernetes, il est possible de le scanner avec Cyberwatch pour lister toutes les images Docker qui sont déployées dessus.

Les découvertes Kubernetes requièrent un jeu d’identifiant Kubernetes, que vous pouvez créer depuis le menu Identifiants enregistrés. Les informations de connexions essentielles sont (1) le point d’entrée vers l’API Kubernetes, par exemple https://ip-du-cluster:6443, et (2) le jeton d’authentification, qui sera typiquement un JWT. Ces informations peuvent facilement être extraites d’un YAML de configuration Kubernetes pour un compte de service en cherchant les clés server: et token:.

Un fois le jeu d’identifiant prêt, vous pourrez créer la découverte Kubernetes depuis le menu Découvertes, en cliquant sur le bouton Ajouter puis sur Kubernetes dans la partie Images Docker.

Ajouter les images Docker découvertes

Depuis la liste des actifs découverts, vous pourrez voir et filtrer les images qui n’ont pas d’actifs associés. Pour les ajouter à Cyberwatch, vous pouvez sélectionnez celles que vous souhaitez scanner et cliquer sur Actions groupées > Scanner comme images Docker.

Pour scanner une image, il vous faudra un moteur d’exécution Docker. Si vous n’en avez pas déjà configuré un, veuillez vous référer à la documentation Ajouter une image Docker.

L’ajout d’images Docker nouvellement découvertes à Cyberwatch peut être automatisé en renseignant dans le formulaire d’édition de la découverte un moteur d’exécution.

Le registre est automatiquement choisi à partir du nom de l’image découverte. Par exemple, une image example.com/library/hello utilisera automatiquement le registre Docker example.com, à condition cependant qu’il ait été ajouté en tant qu’identifiant enregistré. Si le registre est nouveau, un identifiant enregistré sera automatiquement créé, et pourra être manuellement édité par la suite si une authentification est requise. Il est parfois possible d’indiquer un registre de préférence, mais il ne sera utilisé que pour les images découvertes dont le registre figurant dans le nom correspond avec le point d’entrée du registre.