Docker イメージとして Tenable Web App Scanning をデプロイする
Tenable Web App Scanning を Docker イメージとしてデプロイして、コンテナで実行できます。基本となっているイメージは Tenable Web App Scanning の Oracle Linux 8 インスタンスです。環境変数を使って Tenable Web App Scanning インスタンスをセットアップすることで、Docker イメージを設定で自動的にデプロイできます。Docker イメージがデプロイされると、イメージを更新したりスキャナーログを収集したりすることもできます。
注意: Tenable Web App Scanning にはコマンドラインインターフェースまたは設定ウィザードがないため、環境変数を使用して Tenable Web App Scanning を設定する必要があります。
注意: Tenable Web App Scanning docker イメージは AMD 64 ビットシステムでのみ機能します。ARM または Windows システムはサポートしていません。
始める前に
-
ご使用のオペレーティングシステム用の Docker をダウンロードして、インストールします。
-
https://hub.docker.com/r/tenable/was-scanner から Tenable Web App Scanning Docker イメージにアクセスします。
Docker イメージのデプロイまたは削除
Docker イメージとして Tenable Web App Scanning をデプロイメントする方法
-
演算子の説明に従って、デプロイメントに適切なオプションを指定して演算子を使用します。
-
環境変数の説明に従って、-e 演算子を使用して環境変数を設定します。以下に例を示します。
コピー$ docker run -it -e WAS_LINKING_KEY='linkingkeyleavequotations' -e WAS_SCANNER_NAME='samplescannername' tenable/was-scanner:latest注意: サンプルテキストをコピーして貼り付けると、引用符文字が変更され、コマンドが失敗することがあります。続行する前にコマンドを再確認してください。
Docker イメージとしての Tenable Web App Scanning を停止および削除する方法
注意: Docker コンテナとして実行中の Tenable Web App Scanning を削除すると、そのコンテナデータは失われます。
- ターミナルで、docker stop コマンドを使用して、実行中のコンテナを停止します。コピー
$ docker stop <container name> - docker rm コマンドを使用して、コンテナを削除します。コピー
$ docker rm <container name>
| 演算子 | 説明 |
|---|---|
| --name | Docker でコンテナの名前を設定します。 |
| -d | コンテナをデタッチモードで起動します。 |
| -e |
環境変数に前置されます。 Tenable Web App Scanning インスタンスの設定の変更を行うために設定できる環境変数の説明については、環境変数を参照してください。 |
Tenable Vulnerability Management にリンクされている Tenable Web App Scanning イメージのデプロイです。
| 変数 | 必須 | 説明 |
|---|---|---|
| WAS_SCANNER_NAME | 〇 | Tenable Vulnerability Management に表示される Tenable Web App Scanning スキャナーの名前。 |
| WAS_LINKING_KEY | 〇 | Tenable Vulnerability Management からのリンクキー。 |
| WAS_SCANNER_GROUPS | ✕ |
スキャナーを追加する必要があるスキャナーグループ (例:「scanner-group-1、sec-scanner-group」)。 |
| WAS_AUTO_UNLINK_ON_EXIT | ✕ | スキャナー停止時にスキャナーのリンクを自動的に解除します。 |
| WAS_PLATFORM_URL | ✕ | デフォルトは https://cloud.tenable.com です。 |
| WAS_PROXY_URL | ✕ | プラットフォームへのプロキシに使用する URL。 |
| WAS_FIPS_MODE | ✕ | Tenable Web App Scanning に対して FIPS モードを有効にします。デフォルトは false です。 |
Docker イメージの更新
Docker イメージを更新する方法
- 次のコマンドを実行してください。コピー
docker pull tenable/was-scanner
これにより、Docker から最新バージョンのスキャナーがプルされます。
注意:Tenable Web App Scanning Docker イメージでは、ソフトウェアやプラグインは更新されません。最新のプラグインとソフトウェアの更新を取得するには、最新バージョンのスキャナーをプルする必要があります。
スキャナーログの収集
スキャナーログを収集するには、次のいずれかのオプションを使用します。
- 環境変数を追加する:コピー
-e WAS_LOG_TO_STDOUT=trueこれにより stdout にログが出力されます。docker logs <container id> を実行してログを収集できます。
- WAS_SCANNER_LOG_FILE を、ホストにマウントした特定の場所に設定します。以下に例を示します。コピー
docker run -e WAS_SCANNER_LOG_FILE=/scanner/scanner.log -v $PWD:/scanner注意: このオプションでは、コンテナの停止後もログファイルが PWD に残ります。
コンテナモードでの Docker のデプロイ
コンテナモードで Docker をデプロイする方法
- 次のコマンドを実行してください。コピー
docker run -d -e WAS_LINKING_KEY=<linking_key> -e WAS_SCANNER_NAME=<scanner_name> tenable/was-scanner:latest
Tenable FedRAMP 製品に接続するための Docker のデプロイ
fedcloud.tenable.com に接続する方法
- 次のコマンドを実行してください。コピー
docker run -e WAS_MODE=cicd -e ACCESS_KEY=${TENABLE_IO_ACCESS_KEY} -e SECRET_KEY=${TENABLE_IO_SECRET_KEY} -e
WAS_PLATFORM_URL=https://fedcloud.tenable.com -v ./:/scanner tenable/was-scanner:latest