Security Center：Mengonfigurasi dan menjalankan pemindaian keamanan citra

Catatan Penggunaan

• Repositori citra untuk dipindai: repositori citra Container Registry (ACR) Edisi Perusahaan yang Anda buat dan repositori citra Harbor, Quay, dan GitLab yang telah Anda tambahkan ke Security Center.

• Cakupan pemindaian: Secara default, pemindaian menggunakan semua item pemeriksaan untuk semua repositori citra. Anda dapat mengatur cakupan pemindaian sesuai kebutuhan. Cakupan pemindaian mencakup repositori citra, item pemeriksaan baseline, daftar putih kerentanan, daftar putih jenis file sensitif, dan daftar putih file berisiko. Untuk informasi selengkapnya, lihat Langkah 1: Mengonfigurasi cakupan pemindaian keamanan citra.

• Metode pemindaian: Menjalankan pemindaian keamanan citra segera (pemindaian manual) dan mengonfigurasi pemindaian keamanan citra berkala.

  Kedua jenis pemindaian, baik manual maupun berkala, dilakukan berdasarkan pengaturan cakupan pemindaian.

• Konsumsi sumber daya untuk tugas pemindaian: Security Center mengidentifikasi citra berdasarkan nilai digest-nya. Jika nilai digest citra tidak berubah, hanya pemindaian pertama yang mengonsumsi satu unit kuota. Jika nilai digest berubah, pemindaian baru akan mengonsumsi satu unit kuota lainnya.

  Sebelum memindai citra, pastikan Anda memiliki kuota Container Image Security Scan yang mencukupi. Untuk informasi selengkapnya, lihat Mengaktifkan layanan Container Image Security Scan.

• Durasi pemindaian: Untuk memastikan stabilitas tugas pemindaian citra, Security Center menetapkan batas waktu 4 jam untuk setiap tugas pemindaian citra. Nilai ini tidak dapat diubah. Setelah 4 jam, tugas akan berhenti meskipun beberapa repositori citra dalam tugas tersebut belum dipindai.

  Catatan

  Sebelum menjalankan tugas pemindaian citra, kami menyarankan Anda menentukan repositori citra yang diperlukan. Jika Anda menentukan repositori citra Harbor, Anda dapat mengonfigurasi Speed Limit untuk meningkatkan efisiensi pemindaian citra. Untuk informasi selengkapnya, lihat bagian Mengelola repositori citra dalam topik ini.

Langkah 1: Mengonfigurasi cakupan pemindaian keamanan citra

Konfigurasi cakupan pemindaian berlaku untuk pemindaian manual maupun berkala.

1. Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah aset yang ingin Anda lindungi: China atau Outside China. Di panel navigasi sebelah kiri, pilih Protection Configuration > Container Protection > Container Image Scan.

2. Di pojok kanan atas halaman Container Image Scan, klik Scan Settings.

3. Klik tab untuk fitur tertentu guna mengonfigurasi cakupan pemindaian-nya.

   Mengonfigurasi parameter pemindaian

   Di panel Scan Settings, klik tab Scan Configuration dan konfigurasikan parameter.

   Item Konfigurasi	Deskripsi
   Consumed Quota/Purchased Quota	Jumlah pemindaian citra yang telah dilakukan dan jumlah total pemindaian citra yang diizinkan. Jika jumlah pemindaian citra yang diizinkan hampir habis, Anda dapat mengklik Scale Out untuk membeli lebih banyak kuota pemindaian citra.
   Scan Cycle	Pilih siklus untuk menjalankan pemindaian keamanan citra. Parameter ini hanya berlaku untuk pemindaian berkala.
   Scan Scope	Tentukan cakupan repositori citra yang akan dipindai. Lakukan langkah-langkah berikut: Klik Manage di sebelah kanan Scan Scope. Di kotak dialog Image Management, pilih repositori gambar yang ingin Anda pindai. Secara default, Automatically Adds New Image Repositories For Scan diaktifkan di pojok kanan atas daftar repositori citra. Artinya, sistem secara otomatis menambahkan repositori citra baru ke cakupan pemindaian untuk pemindaian keamanan citra berkala. Anda dapat mengklik ikon sakelar untuk menonaktifkan fitur ini. Klik OK.
   Scan Time Range	Pilih rentang waktu untuk pemindaian kerentanan citra. Penting Rentang waktu pemindaian didasarkan pada waktu pembaruan lokal citra. Jika waktu pembaruan tidak tersedia, waktu pembuatan lokal citra digunakan. Rentang waktu ini menentukan apakah suatu citra dipindai atau tidak. Sebagai contoh, jika Anda mengatur rentang waktu pemindaian menjadi Last 7 Days, Security Center akan memindai citra yang diperbarui dalam 7 hari terakhir. Jika waktu pembaruan tersedia tetapi citra terakhir diperbarui lebih dari 7 hari yang lalu, status tugas pemindaian berhasil, tetapi jumlah pemindaian yang berhasil adalah 0. Jika waktu pembaruan tidak tersedia dan citra dibuat lebih dari 7 hari yang lalu, citra tersebut tidak dipindai, mirip dengan skenario sebelumnya.
   Vulnerability Retention Duration	Tentukan periode retensi untuk hasil pemindaian kerentanan citra berkala. Security Center secara otomatis menghapus hasil pemindaian kerentanan yang berada di luar periode retensi.

   Kelola repositori gambar

   Anda dapat mengklik tab Image Repository untuk melihat daftar instans Container Registry Enterprise Edition bertipe acr yang mendukung pemindaian, serta repositori citra pribadi yang telah Anda hubungkan dengan tipe seperti harbor, quay, dan gitlab.

   Catatan

   • Security Center secara otomatis menyinkronkan instans Container Registry Enterprise Edition dari Akun Alibaba Cloud Anda ke daftar repositori citra. Anda tidak dapat menghapus instans Container Registry Enterprise Edition dari daftar repositori citra.

   • Anda dapat mengklik Task Management di pojok kanan atas halaman Container Image Scan. Lalu, di tab Container Asset Synchronization dan Image Asset Synchronization, lihat progres dan status sinkronisasi aset.

   • Untuk memindai repositori citra pribadi yang tidak ada dalam daftar repositori citra, Anda dapat mengklik Add Image Repository untuk menambahkan repositori tersebut. Untuk informasi selengkapnya, lihat Menambahkan repositori citra.

   • Jika Anda tidak ingin memindai repositori citra pribadi dalam daftar repositori citra, klik Remove di kolom Actions untuk repositori tersebut. Di kotak dialog yang muncul, klik OK untuk menghapus repositori tersebut.

     Catatan

     Dua repositori citra default (tipe repositori: acr dan defaultAcr) dalam daftar repositori citra tidak dapat dihapus.

   • Untuk repositori citra Harbor, Anda dapat mengklik Edit di kolom Actions untuk mengonfigurasi Throttling pemindaian citra guna meningkatkan efisiensi pemindaian keamanan citra. Pembatasan kecepatan menentukan jumlah citra yang dapat dipindai per jam. Nilai default-nya adalah 10.

     Sebagai contoh, jika repositori citra harbor berisi 200 citra dan Anda menggunakan batas kecepatan default, tugas pemindaian citra memerlukan waktu 20 jam untuk menyelesaikannya. Namun, batas waktu global untuk setiap tugas pemindaian adalah 4 jam. Artinya, tidak semua citra dalam repositori tersebut dapat dipindai. Jika Anda mengatur parameter Batas Kecepatan menjadi 200, tugas pemindaian hanya memerlukan waktu 1 jam untuk menyelesaikannya. Anda dapat mengonfigurasi parameter Batas Kecepatan berdasarkan kebutuhan dan kondisi jaringan Anda.

   Mengonfigurasi pemindaian baseline citra

   Saat mengonfigurasi pemindaian kerentanan citra, Anda juga dapat mengonfigurasi pemeriksaan baseline citra.

   1. Di panel Scan Settings, klik tab Baseline Configuration Management.

   2. Klik Manage di sebelah kanan Configuration Scope.

   3. Di panel Baseline Check Scope, pilih baseline yang ingin Anda periksa, lalu klik Confirm.

      Penting

      Pemeriksaan baseline Access Key Plaintext Storage dan Password Leakage di panel Baseline Check Scope masing-masing berkorespondensi dengan pemeriksaan AccessKey Leak Detection dan Password Leak Detection. Jika Anda memilih baseline Access Key Plaintext Storage dan Password Leakage di panel Baseline Check Scope, sakelar untuk AccessKey Leak Detection dan Password Leak Detection di bawah Baseline Configuration Management akan diaktifkan secara otomatis, sehingga Anda tidak perlu mengaturnya lagi. Anda juga dapat menggunakan sakelar di samping AccessKey Leak Detection dan Password Leak Detection untuk mengaktifkan atau menonaktifkan kedua baseline ini.

   Setelah dikonfigurasi, sistem akan memeriksa konfigurasi baseline citra Anda setiap kali Anda mengklik Scan Now atau saat pemindaian berkala yang dikonfigurasi dimulai.

   Segera menjalankan pemindaian citra runtime kontainer

   Fitur pemindaian citra runtime kontainer membantu Anda mendeteksi risiko keamanan dalam runtime kontainer.

   Penting

   Pemindaian citra runtime kontainer hanya mendukung pemindaian manual. Anda tidak dapat mengatur pemindaian berkala.

   1. Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: China atau Outside China. Di panel navigasi sebelah kiri, pilih Protection Configuration > Container Protection > Container Image Scan.

   2. Di pojok kanan atas halaman Container Image Scan, klik Scan Settings.

   3. Di panel Scan Settings, klik tab Container Runtime Image Scan.

   4. Klik Configure Scan Scope. Di kotak dialog yang muncul, pilih kluster yang diperlukan dan nama aplikasi yang ingin Anda pindai, lalu klik OK.

   5. Klik Scan Now.

   Setelah menjalankan pemindaian segera, Anda dapat mengklik Task Management di pojok kanan atas halaman Container Image Scan. Di panel Task Management, klik tab Container Runtime Image Scan untuk melihat progres pemindaian. Setelah pemindaian selesai, Anda dapat melihat kerentanan yang terdeteksi di tab Image Vulnerability Risk pada halaman Container Image Scan.

   Mengonfigurasi pemindaian file sensitif citra

   Fitur pemindaian file sensitif citra mendeteksi data sensitif dalam file sensitif umum dan file citra kustom Anda. Fitur ini dapat mendeteksi berbagai jenis file sensitif, seperti konfigurasi aplikasi yang berisi informasi sensitif, sertifikat dan kunci umum, kredensial autentikasi atau logon aplikasi, serta kredensial dari vendor Elastic Compute Service. Fitur ini membantu Anda menemukan informasi sensitif di lingkungan citra. Anda kemudian dapat menangani data sensitif yang terdeteksi untuk meningkatkan keamanan lingkungan runtime citra.

   Penting

   Hanya pemindaian citra statis yang didukung. Deteksi file sensitif saat runtime tidak didukung.

   1. Di panel Scan Settings, pilih tab Sensitive File Scan Settings.

   2. Klik Manage di sebelah kanan Configuration Scope.

   3. Di panel Sensitive File Scan Settings, pilih item pemeriksaan yang akan dipindai.

      

   4. Nyalakan atau matikan sakelar deteksi file sensitif.

      Setelah Anda mengaktifkan sakelar deteksi file sensitif, pemindaian file sensitif juga akan dilakukan saat Anda mengklik Scan Now atau saat pemindaian berkala dijalankan.

   Mengonfigurasi daftar putih untuk file berisiko

   Jika Anda tidak ingin menerima peringatan untuk risiko dari file sensitif citra tertentu, instruksi pembuatan citra, atau sampel citra berbahaya, Anda dapat menambahkan jenis peringatan yang sesuai ke daftar putih. Security Center tidak akan menghasilkan peringatan untuk risiko yang berada dalam daftar putih.

   Catatan

   • Daftar putih untuk file berisiko menampilkan jenis peringatan dan repositori citra yang telah Anda tambahkan ke daftar putih dari tab Malicious Image Sample, Sensitive Image File, dan Image Build Command Risks. Untuk informasi selengkapnya, lihat Menangani risiko citra yang terdeteksi.

   • Anda tidak dapat mengonfigurasi daftar putih untuk file berisiko saat pertama kali menggunakan fitur pemindaian keamanan citra.

   1. Di panel Scan Settings, klik tab At-risk File Whitelist Configuration.

   2. Konfigurasikan daftar putih untuk file berisiko.

      • Edit aturan daftar putih: Di tab Sensitive File, Container Build, atau Malicious Sample, temukan Metrik Alarm yang dituju, klik Edit di kolom Actions, lalu pilih All Image Repositories atau Current Image Repository Only sebagai cakupan daftar putih.

      • Hapus aturan daftar putih: Di tab Sensitive File, Container Build, atau Malicious Sample, temukan jenis peringatan dan klik Delete di kolom Actions untuk menghapus jenis peringatan tersebut dari daftar putih. Security Center kemudian akan melanjutkan deteksi dan menghasilkan peringatan untuk risiko-risiko ini.

   Mengonfigurasi perbaikan citra

   Security Center mendukung perbaikan otomatis kerentanan sistem untuk repositori citra ACR Enterprise Edition. Anda dapat mengaktifkan perbaikan otomatis dan mengonfigurasi siklus perbaikan, cakupan perbaikan, dan parameter lainnya.

   1. Di panel Scan Settings, pilih tab Image Risk Fixing Configuration.

   2. Klik sakelar Fixing Configuration untuk mengaktifkan atau menonaktifkan fitur perbaikan otomatis.

   3. Jika Anda mengaktifkan Konfigurasi Perbaikan, Anda dapat mengonfigurasi Fixing Period, Fixing Scope (repositori citra dalam instans ACR Enterprise Edition), dan Time Range (kerentanan dalam citra yang diperbarui dalam rentang waktu ini akan diperbaiki).

      Penting

      Security Center mengevaluasi kondisi rentang waktu berdasarkan waktu pembaruan terakhir citra. Jika citra belum pernah diperbarui, waktu pembuatannya digunakan. Sebagai contoh, jika Anda mengatur Rentang Waktu menjadi 7 Days, Security Center hanya memperbaiki kerentanan dalam citra yang diperbarui dalam tujuh hari terakhir.

      Setelah Anda mengklik Scan Now atau ketika tugas pemindaian berkala yang telah Anda konfigurasikan dimulai, Security Center akan mendeteksi dan memperbaiki kerentanan sistem pada gambar Anda sesuai dengan siklus perbaikan yang telah Anda tentukan.

      Anda dapat mengklik Task Management di pojok kanan atas halaman Container Image Scan. Di panel Task Management, buka tab Image Remediation untuk melihat status pemulihan kerentanan sistem citra.

   Mengonfigurasi daftar putih kerentanan

   Jika Anda tidak perlu memindai kerentanan citra tertentu, Anda dapat menambahkan kerentanan tersebut ke daftar putih. Security Center tidak akan menghasilkan peringatan untuk kerentanan yang berada dalam daftar putih.

   1. Di panel Scan Settings, pilih tab Vulnerability Whitelist Settings.

   2. Konfigurasikan daftar putih kerentanan.

      • Buat aturan daftar putih kerentanan: Klik Create Rule. Di panel Create Rule, konfigurasikan aturan daftar putih untuk berbagai jenis kerentanan.

      • Edit aturan daftar putih kerentanan: Klik Edit di kolom Actions aturan daftar putih yang dituju untuk mengubah Rule Scope, Image Selection, dan Note-nya.

      • Hapus aturan daftar putih kerentanan: Temukan aturan daftar putih yang diperlukan dan klik Delete di kolom Actions. Setelah kerentanan dihapus dari daftar putih, Security Center akan melanjutkan deteksi kerentanan tersebut dan menghasilkan peringatan untuknya.

4. Klik ikon di pojok kanan atas panel Scan Settings untuk menutup panel tersebut.

Langkah 2: Menjalankan pemindaian keamanan citra

Setelah Anda mengonfigurasi cakupan pemindaian keamanan citra, pemindaian manual dan berkala akan dilakukan berdasarkan pengaturan konfigurasi di panel Scan Settings.

Langkah 3: Lihat kemajuan dan status tugas pemindaian gambar

1. Di pojok kanan atas halaman Container Image Scan, klik Task Management.

2. Di panel Task Management, klik tab Image Scan.

3. Setelah melihat progres dan status tugas, klik Details di kolom Actions untuk melihat log eksekusinya.

   Sebagai contoh, Anda dapat melihat informasi tentang citra yang gagal dipindai dan penyebab kegagalannya.

   

Lampiran