Découvertes Docker

Les découvertes Docker permettent de lister un ensemble d’images Docker à partir d’un registre ou encore d’un déploiement existant. Les images Docker découvertes peuvent ensuite être ajoutées par une action groupée à Cyberwatch afin d’être scannées.

Kubernetes

Prérequis

Les découvertes Kubernetes requièrent :

  • Un point d’entrée vers l’API Kubernetes
  • Un mode d’authentification : Jeton d’authentification ou Certificat client
  • Des identifiants pouvant accéder à la ressource Pods via le verbe list
  • Des identifiants pouvant accéder aux ressources namespaces/status et Pods/status via les verbes list et get afin d’avoir accès à l’état des namespaces

Si vous disposez d’un cluster Kubernetes, il est possible de le scanner avec Cyberwatch pour lister toutes les images Docker qui sont déployées dessus.

Les découvertes Kubernetes requièrent un jeu d’identifiants Kubernetes, que vous pouvez créer depuis le menu Identifiants enregistrés. Les informations de connexions essentielles sont (1) le point d’entrée vers l’API Kubernetes, par exemple https://ip-du-cluster:6443, (2) le mode d’authentification, qui sera par Jeton d’authentification (typiquement un JWT) ou par Certificat client, et (3) les identifiants de connexion requis par le mode d’authentification choisi.

Le point d’entrée vers l’API Kubernetes et le Jeton d’authentification peuvent facilement être extraits d’un YAML de configuration Kubernetes pour un compte de service en cherchant les clés server: et token:.

Vous pouvez générer un Certificat client en suivant la documentation officielle.

Une fois le jeu d’identifiants prêt, vous pourrez créer la découverte Kubernetes depuis le menu Découvertes, en cliquant sur le bouton Ajouter puis sur Kubernetes dans la partie Images Docker.

Il est possible d’ajuster le périmètre d’une découverte Kubernetes de différentes façons :

  • Lister les images définies dans la configuration des pods (les images sont alors référencées par tag)
  • Lister les images en cours d’exécution sur le cluster (les images sont alors référencées par digest)
  • Lister les namespaces (les images ne seront alors pas référencées)

Ces périmètres sont également disponibles pour les découvertes AKS et EKS.

Il est également possible de restreindre la découverte à un espace de noms. Ceci est également disponible pour la découverte Red Hat OpenShift.

Ajouter les images Docker découvertes

Depuis la liste des actifs découverts, vous pourrez voir et filtrer les images qui n’ont pas d’actifs associés. Pour les ajouter à Cyberwatch, vous pouvez sélectionnez celles que vous souhaitez scanner et cliquer sur Actions groupées > Scanner comme images Docker.

Pour scanner une image, il vous faudra un moteur d’exécution Docker. Si vous n’en avez pas déjà configuré un, veuillez vous référer à la documentation Ajouter une image Docker.

L’ajout d’images Docker nouvellement découvertes à Cyberwatch peut être automatisé en renseignant dans le formulaire d’édition de la découverte un moteur d’exécution.

Le registre est automatiquement choisi à partir du nom de l’image découverte. Par exemple, une image example.com/library/hello utilisera automatiquement le registre Docker example.com, à condition cependant qu’il ait été ajouté en tant qu’identifiant enregistré. Si le registre est nouveau, un identifiant enregistré sera automatiquement créé et pourra être manuellement édité par la suite si une authentification est requise. Il est parfois possible d’indiquer un registre de préférence, mais il ne sera utilisé que pour les images découvertes dont le registre figurant dans le nom correspond avec le point d’entrée du registre.

Retour en haut