Docker Swarm

Les découvertes Docker Swarm permettent de lister l’ensemble des images disponibles localement sur un moteur d’exécution Docker. Elles s’appliquent pour les déploiements Docker Swarm, mais ne s’y limitent pas : tout daemon Docker est compatible.

Seules les images associées à un tag sont reconnues, ce qui exclut toutes les images intermédiaires, ou encore celles spécifiées par ID.

Configuration du moteur d’exécution Docker

Afin de permettre le scan depuis Cyberwatch, le daemon Docker à scanner doit accepter les connexions externes. Pour des raisons de sécurité, il est essentiel d’authentifier la connexion par TLS, tel que décrit dans la documentation officielle de Docker : https://docs.docker.com/engine/security/https/.

Une documentation et des scripts de génération des certificats pour la configuration TLS de votre moteur d’exécution Docker est disponible ici : https://github.com/Cyberwatch/docker-scanner.

Suivre la documentation sur GitHub pour configurer votre moteur d’exécution Docker.

L’équipe support de Cyberwatch est également à disposition pour vous assister à la configuration TLS de votre daemon Docker si nécessaire.

Une fois le moteur configuré avec TLS, vous devriez alors disposer des éléments suivants :

  • Le certificat de votre autorité de certification
  • Le certificat client signé par l’autorité de certification
  • La clé privée associée au certificat client

Finalement, allez sur la page Réglages > Identifiants enregistrés à partir de laquelle vous pourrez ajouter des identifiants de type Moteur d’exécution Docker. L’URL attendue est typiquement de la forme tcp://…:2376, et les certificats attendus sont ceux décrits ci-dessus.

Ajouter les images Docker découvertes

Depuis la liste des actifs découverts, vous pourrez voir et filtrer les images qui n’ont pas d’actifs associés. Pour les ajouter à Cyberwatch, vous pouvez sélectionnez celles que vous souhaitez scanner et cliquer sur Actions groupées > Scanner comme images Docker.

L’ajout d’images Docker nouvellement découvertes à Cyberwatch peut être automatisé en activant l’enregistrement automatique depuis le formulaire d’édition de la découverte.

Le registre est automatiquement choisi à partir du nom de l’image découverte. Par exemple, une image example.com/library/hello utilisera automatiquement le registre Docker example.com, à condition cependant qu’il ait été ajouté en tant qu’identifiant enregistré. Si le registre est nouveau, un identifiant enregistré sera automatiquement créé et pourra être manuellement édité par la suite si une authentification est requise. Il est parfois possible d’indiquer un registre de préférence, mais il ne sera utilisé que pour les images découvertes dont le registre figurant dans le nom correspond avec le point d’entrée du registre.

Retour en haut