Análisis de imágenes Docker

Si el servidor en el que está instalado Cyberwatch dispone de un kernel inferior a 5.11, es necesario tener una versión de cbw-on-premise superior o igual a la versión 5.25 para poder escanear imágenes Docker.

Configuración de registros

Desde la página Configuración > Credenciales registradas, puede añadir credenciales de tipo Registro Docker. Para fines de prueba, el registro público Docker Hub está configurado por defecto.

Si su registro utiliza un certificado autofirmado, deberá desactivar la verificación de certificados o hacer que sea firmado por una autoridad reconocida. Tenga en cuenta que el motor Docker probablemente requerirá una configuración similar, como se describe en https://docs.docker.com/registry/insecure/.

Los registros privados Amazon ECR requieren acceso a la API de AWS para la autenticación. El procedimiento para crear una clave de API y añadirla como credenciales registradas en Cyberwatch es el mismo que para los descubrimientos Amazon EC2. La clave de API debe autorizar la creación de una contraseña temporal para la conexión al registro. Para que luego aparezca la selección de clave AWS en la página de adición de un registro Docker, la URL del registro debe terminar en .amazonaws.com.

Google Artifact Registry requiere una clave JSON de cuenta de servicio para la autenticación. Consulte https://cloud.google.com/artifact-registry/docs/docker/authentication?hl=en#json-key para más detalles. Primero debe registrar esta clave como credencial registrada de tipo Google Cloud Platform. Luego, al añadir el registro Docker, podrá seleccionar su clave GCP en cuanto la URL termine en -docker.pkg.dev.

Añadir una imagen Docker

Las imágenes Docker se configuran desde la página Gestión de activos > Imágenes Docker.

Para añadir una imagen Docker:

1. Ir a Gestión de activos > Imágenes Docker
2. Hacer clic en Añadir en la esquina superior derecha

3. Completar el formulario:

   • Imagen corresponde al nombre de la imagen Docker en formato namespace/name. Para una imagen oficial alojada en Docker Hub, indique explícitamente el espacio de nombres library.
   • Tag o digest corresponde a la versión de la imagen a usar
   • Registro corresponde al repositorio Docker desde el cual descargar la imagen
   • Origen corresponde al nodo Cyberwatch que debe realizar el escaneo
4. Hacer clic en Confirmar

Una vez añadida la imagen, se iniciará un análisis en segundo plano y, en caso de éxito, añadirá la imagen al inventario de Vulnerabilidades. El activo asociado, o un eventual error, se mostrarán en el índice Imágenes Docker cuando finalice la tarea de análisis.

---

Table of contents

• Escanear imágenes Docker en una CI de GitLab
• Escanear imágenes Docker en un registro Harbor