Alauda Security Service
  • Русский

    • Использование Alauda Security Service в автономном режиме

    Alauda Security Service можно развернуть в средах без доступа к интернету. В автономном режиме Central и Scanner продолжают работать без обращения к публичным endpoints, однако определения уязвимостей необходимо предоставлять вручную.

    Содержание

    Включение автономного режимаОбновление определений уязвимостейЗагрузка definitionsЗагрузка definitions в CentralИспользование API TokenИспользование пароляПримечания по эксплуатации

    Включение автономного режима

    При установке сервиса Central с использованием custom resource оператора задайте политику исходящего подключения как Offline:

    spec:
  egress:
    connectivityPolicy: Offline

    Этот параметр соответствует процессу установки, описанному в Alauda Security Service for StackRox Installation.

    Обновление определений уязвимостей

    Scanner поддерживает локальную базу данных уязвимостей. В online-режиме Central получает последние данные об уязвимостях из интернета, а Scanner синхронизируется с Central. В автономном режиме необходимо вручную обновлять данные об уязвимостях, загружая файл definitions в Central, после чего Scanner извлекает их оттуда.

    • По умолчанию Scanner проверяет наличие новых данных в Central каждые 5 минут.
    • Источник автономных данных обновляется примерно каждые 3 часа.

    Загрузка definitions

    Загрузка definitions в Central

    Вы можете загрузить базу данных definitions уязвимостей в Central, используя либо API token, либо пароль администратора.

    Использование API Token

    • Предварительные требования:

      • API token с ролью администратора
      • Установленный CLI roxctl

    • Процедура:

      export ROX_API_TOKEN=<api_token>
export ROX_CENTRAL_ADDRESS=<address>:<port_number>
roxctl scanner upload-db \
  -e "$ROX_CENTRAL_ADDRESS" \
  --scanner-db-file=<compressed_scanner_definitions.zip>

    Использование пароля

    roxctl scanner upload-db \
  -e <address>:<port_number> \
  --scanner-db-file=<compressed_scanner_definitions.zip> \
  --password <admin_password>

    Примечания по эксплуатации

    • Храните загруженный файл bundle в пути распространения автономного ПО, чтобы его можно было продвигать вместе с содержимым образов и манифестами развертывания.
    • В более крупных средах обновляйте bundle по регулярному графику, чтобы уменьшить расхождение между фактическими результатами Scanner и текущими определениями уязвимостей.
    • В последних версиях автономные bundles уязвимостей обрабатываются более эффективно, но workflow загрузки остается прежним с точки зрения оператора.