Gambar kontainer dapat membawa kerentanan, salah konfigurasi, file berbahaya, dan kredensial sensitif yang tidak terdeteksi hingga mencapai lingkungan produksi. Pemindaian gambar kontainer mengidentifikasi risiko tersebut langsung pada gambar di Container Registry Anda sebelum penerapan. Untuk kerentanan sistem gambar, Security Center juga menyediakan perbaikan cepat melalui perintah perbaikan.
Batasan
Pemindaian gambar kontainer merupakan fitur bernilai tambah yang harus dibeli secara terpisah. Hanya edisi Advanced, Enterprise, Ultimate, dan Value-added Plan yang mendukung pembelian ini.
Wilayah yang didukung
Pemindaian gambar kontainer bekerja dengan instans Container Registry di wilayah-wilayah berikut.
| Area | Wilayah yang didukung |
|---|---|
| Tiongkok | Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), dan Tiongkok (Ulanqab) |
| Tiongkok (Shenzhen), Tiongkok (Heyuan), dan Tiongkok (Guangzhou) | |
| Tiongkok (Hangzhou) dan Tiongkok (Shanghai) | |
| Tiongkok (Chengdu) | |
| Tiongkok (Hong Kong) | |
| China East 2 Finance, China South 1 Finance, China North 2 Finance, dan China North 2 Ali Gov 1 | |
| Luar Tiongkok | Jepang (Tokyo), Korea Selatan (Seoul), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta), Filipina (Manila), Thailand (Bangkok) |
| Jerman (Frankfurt), Inggris (London), AS (Virginia), dan AS (Silicon Valley) |
Apa yang dipindai
Pemindaian gambar kontainer mencakup dua kategori pemeriksaan: konten gambar (file di dalam gambar) dan instruksi build (Dockerfile yang digunakan untuk membuat gambar). Memahami perbedaan ini membantu Anda menginterpretasikan hasil dan memilih jalur remediasi yang tepat.
Pemeriksaan konten gambar
Pemeriksaan ini memindai file dan lingkungan runtime di dalam gambar yang telah dibuat.
| Jenis risiko | Apa yang dideteksi | Perbaikan cepat didukung |
|---|---|---|
| Kerentanan sistem gambar | Kerentanan sistem operasi dan kerentanan perangkat lunak pihak ketiga | Ya — perbaiki menggunakan perintah dan deskripsi dampak yang disediakan oleh Security Center |
| Kerentanan aplikasi gambar | Kerentanan aplikasi yang dapat menyebabkan akses tidak sah, injeksi kode, dan serangan denial-of-service (DoS) | Tidak — perbaiki secara manual menggunakan perintah dan deskripsi dampak yang disediakan oleh Security Center |
| Risiko dasar gambar | Salah konfigurasi di mana gambar tidak sesuai dengan spesifikasi konfigurasi keamanan dan praktik terbaik | Tidak — perbaiki secara manual berdasarkan detail pemeriksaan baseline yang disediakan oleh Security Center |
| Sampel gambar berbahaya | File berbahaya, kode berbahaya, dan perilaku berbahaya dalam gambar serta selama runtime kontainer | Tidak — perbaiki secara manual menggunakan path file berbahaya yang disediakan oleh Security Center |
| File gambar sensitif | Konfigurasi aplikasi yang berisi informasi sensitif, kunci sertifikat, identitas atau kredensial login aplikasi, serta kredensial penyedia server cloud | Tidak — tinjau saran dari Security Center, hapus informasi sensitif tersebut, lalu buat ulang gambar |
Perbaikan cepat hanya tersedia untuk kerentanan sistem gambar. Untuk semua jenis risiko lainnya, ikuti langkah remediasi manual dalam detail risiko. Untuk informasi lebih lanjut, lihat Tangani risiko gambar yang terdeteksi.
Pemeriksaan instruksi build
Pemeriksaan ini menganalisis instruksi Dockerfile yang digunakan untuk membuat gambar. Masalah yang terdeteksi mengharuskan Anda memperbarui Dockerfile dan membuat ulang gambar.
Security Center mendeteksi risiko instruksi build berikut:
Perintah
MAINTAINERyang sudah usangTidak ada pengguna yang ditentukan dengan perintah
USER(gambar berjalan sebagai root secara default)Aplikasi berjalan sebagai pengguna root
Penggunaan perintah
ADDData sensitif dimasukkan dalam variabel
ENVVerifikasi sertifikat dinonaktifkan melalui variabel lingkungan
NODE_TLS_REJECT_UNAUTHORIZEDaptdigunakan dengan perintahRUNdalam Dockerfile
Untuk memperbaiki masalah ini, perbarui Dockerfile Anda berdasarkan deskripsi risiko yang disediakan oleh Security Center, lalu buat ulang dan dorong gambar tersebut.
Sistem operasi yang didukung
Tabel berikut mencantumkan sistem operasi yang didukung untuk deteksi risiko dan perbaikan risiko.
| Sistem operasi | Versi: deteksi risiko | Versi: perbaikan risiko |
|---|---|---|
| Red Hat | 5, 6, 7 | Tidak ada |
| CentOS | 5, 6, 7 | 7, 8 |
| Ubuntu | 12.04, 14.04, 16.04, 18.04, 18.10 | 14, 16, 18 |
| Debian | 6, 7, 8, 9, 10 | 9, 10 |
| Alpine | 2.3, 2.4, 2.5, 2.6, 2.7, 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 3.8, 3.9, 3.10, 3.11, 3.12 | 3.9 |
| Amazon Linux | Amazon Linux 2, Amazon Linux AMI | Tidak ada |
| Oracle Linux | 5, 6, 7, 8 | Tidak ada |
| SUSE Linux Enterprise Server | 5, 6, 7, 8, 9, 10, 10 SP4, 11 SP3, 12 SP2, 12 SP5 | Tidak ada |
| Fedora Linux | 2X, 3X | Tidak ada |
| openSUSE | 10.0, Leap 15.2, Leap 42.3 | Tidak ada |
Mulai
Aktifkan pemindaian gambar kontainer: Beli dan aktifkan fitur ini, lalu atur kuota Container Image Scan berdasarkan jumlah gambar yang ingin Anda pindai. Anda akan dikenai biaya berdasarkan kuota ini.
Pindai gambar: Konfigurasikan cakupan pemindaian untuk gambar Anda. Jalankan pemindaian segera atau atur jadwal pemindaian berkala.
Tampilkan dan tangani risiko gambar yang terdeteksi: Tinjau hasil pemindaian dan perbaiki risiko menggunakan instruksi perbaikan yang disediakan.
Topik terkait
Untuk manajemen kerentanan server, lihat Manajemen kerentanan.
Untuk hasil pemindaian gambar Elastic Compute Service (ECS), lihat Tampilkan hasil pemindaian gambar.