コンテナイメージには、本番環境にデプロイされるまで検出されない脆弱性、誤った構成、悪意のあるファイル、機密認証情報などが含まれている可能性があります。コンテナイメージスキャンは、デプロイ前に Container Registry に格納されているイメージに対して直接これらのリスクを特定します。イメージのシステム脆弱性については、Security Center が応急処置コマンドとともに迅速な修正機能も提供しています。
制限事項
コンテナイメージスキャンは有償の付加価値機能であり、別途購入が必要です。この機能の購入をサポートするのは、Advanced、Enterprise、Ultimate、および Value-added Plan エディションのみです。
対応リージョン
コンテナイメージスキャンは、以下のリージョンにある Container Registry インスタンスと連携します。
| エリア | 対応リージョン |
|---|---|
| 中国 | 中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ) |
| 中国 (深セン)、中国 (河源)、中国 (広州) | |
| 中国 (杭州)、中国 (上海) | |
| 中国 (成都) | |
| 中国 (香港) | |
| 中国東部 2 Finance、中国南部 1 Finance、中国北部 2 Finance、中国北部 2 Ali Gov 1 | |
| 中国以外 | 日本 (東京)、韓国 (ソウル)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、タイ (バンコク) |
| ドイツ (フランクフルト)、イギリス (ロンドン)、米国 (バージニア)、米国 (シリコンバレー) |
スキャン対象
コンテナイメージスキャンでは、イメージコンテンツ(イメージ内のファイル)とビルド命令(イメージ作成に使用された Dockerfile)の 2 種類のチェックを実施します。この違いを理解することで、スキャン結果を正しく解釈し、適切な修正方法を選択できます。
イメージコンテンツチェック
このチェックでは、ビルド済みの最終イメージ内に含まれるファイルおよび実行環境をスキャンします。
| リスクタイプ | 検出内容 | クイックフィックス対応 |
|---|---|---|
| イメージシステム脆弱性 | オペレーティングシステムの脆弱性およびサードパーティソフトウェアの脆弱性 | あり — Security Center が提供するコマンドおよび影響説明を使用して修正 |
| イメージアプリケーション脆弱性 | 不正アクセス、コードインジェクション、サービス拒否 (DoS) 攻撃につながる可能性のあるアプリケーションの脆弱性 | なし — Security Center が提供するコマンドおよび影響説明に基づき手動で修正 |
| イメージベースラインリスク | セキュリティ構成仕様およびベストプラクティスに準拠していない誤った構成 | なし — Security Center が提供するベースラインチェックの詳細に基づき手動で修正 |
| 悪意のあるイメージサンプル | イメージ内およびコンテナランタイム中に存在する悪意のあるファイル、悪意のあるコード、悪意のある行為 | なし — Security Center が提供する悪意のあるファイルパスを使用して手動で修正 |
| 機密イメージファイル | 機密情報を含むアプリケーション構成、証明書キー、アプリケーション ID やログイン認証情報、クラウドサーバープロバイダーの認証情報 | なし — Security Center の提案を確認し、機密情報を削除したうえでイメージを再作成 |
応急処置はイメージシステム脆弱性に対してのみ利用可能です。その他のすべてのリスクタイプについては、リスク詳細に記載された手動修正手順に従ってください。詳細については、「検出されたイメージリスクの対処」をご参照ください。
ビルド命令チェック
このチェックでは、イメージのビルドに使用された Dockerfile 命令を分析します。検出された問題を修正するには、Dockerfile を更新してイメージを再ビルドする必要があります。
Security Center は、以下のビルド命令リスクを検出します。
非推奨の
MAINTAINERコマンドUSERコマンドによるユーザー指定なし(デフォルトでイメージが root として実行)root ユーザーとして実行されるアプリケーション
ADDコマンドの使用ENV変数に含まれる機密データNODE_TLS_REJECT_UNAUTHORIZED環境変数による証明書検証の無効化Dockerfile 内で
RUNコマンドとともに使用されるapt
これらの問題を修正するには、Security Center が提供するリスク説明に基づいて Dockerfile を更新し、その後イメージを再ビルドしてプッシュしてください。
対応オペレーティングシステム
以下の表は、リスク検出およびリスク修正に対応しているオペレーティングシステムを示しています。
| オペレーティングシステム | バージョン:リスク検出 | バージョン:リスク修正 |
|---|---|---|
| Red Hat | 5、6、7 | なし |
| CentOS | 5、6、7 | 7、8 |
| Ubuntu | 12.04、14.04、16.04、18.04、18.10 | 14、16、18 |
| Debian | 6、7、8、9、10 | 9、10 |
| Alpine | 2.3、2.4、2.5、2.6、2.7、3.1、3.2、3.3、3.4、3.5、3.6、3.7、3.8、3.9、3.10、3.11、3.12 | 3.9 |
| Amazon Linux | Amazon Linux 2、Amazon Linux AMI | なし |
| Oracle Linux | 5、6、7、8 | なし |
| SUSE Linux Enterprise Server | 5、6、7、8、9、10、10 SP4、11 SP3、12 SP2、12 SP5 | なし |
| Fedora Linux | 2X、3X | なし |
| openSUSE | 10.0、Leap 15.2、Leap 42.3 | なし |
はじめに
コンテナイメージスキャンの有効化:機能を購入・有効化し、スキャン対象のイメージ数に基づいて Container Image Scan クォータを設定します。課金はこのクォータに基づいて行われます。
イメージのスキャン:イメージのスキャン範囲を設定します。即時スキャンを実行するか、定期スキャンスケジュールを設定します。
検出されたイメージリスクの確認と対処:スキャン結果を確認し、提供された修正手順を使用してリスクを対処します。
関連トピック
サーバーの脆弱性管理については、「脆弱性管理」をご参照ください。
Elastic Compute Service (ECS) のイメージスキャン結果については、「イメージスキャン結果の確認」をご参照ください。