Security Center は、コンテナイメージをスキャンして、システム脆弱性、アプリケーション脆弱性、ベースラインリスク、悪意あるサンプル、機密ファイル、およびイメージビルド命令におけるリスクを検出します。本トピックでは、スキャン範囲の設定、スキャンの実行、タスク進捗のモニタリングという一連のワークフローについて説明します。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
コンテナイメージスキャン 機能が有効化されており、十分な コンテナイメージスキャン 権限付与が購入済みであることです。詳細については、「コンテナイメージセキュリティスキャン機能の有効化」をご参照ください。
Container Registry Enterprise Edition インスタンス、または接続済みのプライベートイメージリポジトリがあることです。詳細については、「Container Registry Enterprise Edition インスタンスの作成」および「イメージリポジトリの追加」をご参照ください。
Container Registry Enterprise Edition インスタンスで仮想プライベートクラウド (VPC) を使用している場合、サポート対象のリージョン内のサポート対象ゾーンに配置された vSwitch を選択してください。対応リージョンおよびゾーンの一覧については、「サポート対象のリージョンおよびゾーン」をご参照ください。
仕組み
Security Center は、2 種類のスキャンモードおよび 6 種類のリスク検出カテゴリをサポートしています。
スキャンモード:
| モード | 説明 |
|---|---|
| 手動スキャン | [今すぐスキャン] をクリックすると即時に実行されます。Security Center に接続されているすべてのイメージタイプがスキャン対象となりますが、スキャン範囲を絞り込む場合は除きます。 |
| 定期スキャン | 設定したスキャン周期に基づいて自動的に実行されます。脆弱性、ベースライン、悪意あるサンプル、および機密ファイルのスキャンに適用されます。コンテナランタイムイメージのスキャンは、定期モードをサポートしていません。 |
いずれのモードでも、同じスキャン範囲設定を使用します。まずスキャン範囲を設定し、その後実行タイミングを選択してください。
Security Center が検出するもの:ログインするには、Security Center コンソール にアクセスします。
| 検出カテゴリ | 説明 | 対応モード |
|---|---|---|
| システムおよびアプリケーション脆弱性 | OS パッケージ、ミドルウェア、Web アプリケーション、データベースにおける CVE | 手動、定期 |
| ベースラインリスク | セキュリティベンチマークに対する誤った構成 | 手動、定期 |
| 悪意あるサンプル | マイニングトロイアン、バックドアプログラム、その他のマルウェア | 手動、定期 |
| 機密ファイル | イメージレイヤー内に含まれるアプリケーション認証情報、証明書、キー、およびクラウドプロバイダーの AccessKey | 手動、定期 |
| イメージビルド命令のリスク | Dockerfile 命令におけるセキュリティリスク | 手動、定期 |
| コンテナランタイムイメージのリスク | 実行中のコンテナ内で稼働しているイメージにおける脆弱性 | 手動のみ |
クォータ消費モデル:
Security Center は、イメージのダイジェスト値によってイメージを識別します。スキャン間でイメージのダイジェスト値が変更されない場合、初回のスキャンのみがクォータ単位を消費します。ダイジェスト値が変更された場合(つまり、イメージが再構築または更新された場合)には、次回のスキャンで追加のクォータ単位が消費されます。
各スキャンタスクには、固定のタイムアウト時間(4 時間)があります。この時間内にすべてのリポジトリをスキャンできない場合、残りのリポジトリはスキップされます。スキャンを開始する前に、必要なリポジトリを指定し、Harbor リポジトリの [速度制限] を増加させて、タイムアウトに達しないようにしてください。
ステップ 1:スキャン範囲の設定
スキャン範囲の設定は、手動スキャンおよび定期スキャンの両方に適用されます。
Security Center コンソールSecurity Center コンソール にログインします。左上隅から、保護対象のリソースが配置されているリージョンを選択します:中国本土 または 中国本土以外。
左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > コンテナイメージスキャン を選択します。
コンテナイメージスキャン ページの右上隅で、スキャン設定 をクリックします。
スキャン設定 パネルで、設定したい機能に対応するタブをクリックします。
以降のセクションでは、各タブについて説明します。
スキャンパラメーターの設定
スキャン構成 タブで、以下のパラメーターを設定します。
| パラメーター | 説明 |
|---|---|
| 消費済みクォータ/購入済みクォータ | 実行済みスキャン数と購入済み総数の関係を示します。クォータが不足している場合は、スケールアウト をクリックして追加購入できます。 |
| スキャン周期 | 定期スキャンの実行頻度です。手動スキャンには影響しません。 |
| スキャン範囲 | 含めるイメージリポジトリ。[管理] をクリックし、[イメージ管理] ダイアログボックスでリポジトリを選択して、[OK] をクリックします。デフォルトでは、[新しいイメージリポジトリを自動的にスキャンに追加] が有効になっており、新しいリポジトリは定期的なスキャンの範囲に自動的に追加されます。必要に応じて、 アイコンをクリックしてこの機能を無効にできます。 |
| スキャン時間範囲 | イメージの最終ローカル更新時刻に基づいてスキャンを実行します。更新時刻が利用できない場合は、ローカル作成時刻が使用されます。たとえば、過去 7 日間 を選択した場合、7 日以上前に最終更新されたイメージは除外されます。タスクのステータスは「成功」と表示されますが、成功したスキャン数は 0 となります。 |
| 脆弱性保持期間 | 定期スキャン結果を保持する期間です。Security Center は、この期間を超えた結果を自動的に削除します。 |
イメージリポジトリの管理
イメージリポジトリ タブをクリックして、接続済みのリポジトリを表示します。
acr および defaultAcr タイプ:Alibaba Cloud アカウントから自動同期される Container Registry Enterprise Edition インスタンスです。これらのリポジトリは一覧から削除できません。
harbor、quay、gitlab タイプ:手動で接続したプライベートリポジトリです。
このタブから、以下の操作が可能です。
リポジトリの追加: イメージリポジトリの追加 をクリックして、まだ一覧に登録されていないプライベートリポジトリを接続します。詳細については、「イメージリポジトリの追加」をご参照ください。
リポジトリの削除: 対象リポジトリの 操作 列で 削除 をクリックし、その後 OK をクリックします。
Harbor の速度制限の設定: Harbor リポジトリの場合、操作 列の 編集 をクリックし、速度制限 (1 時間あたりのスキャンイメージ数、デフォルト:10)を設定します。多数のイメージがあり、4 時間以内にすべてをスキャンする必要がある場合は、この値を増加させます。たとえば、デフォルトの 10 件/時で 200 件のイメージを持つ Harbor リポジトリの場合、所要時間は 20 時間となり、タイムアウトを超えてしまうため、多くのイメージがスキャンされません。これを 200 に設定すると、所要時間は 1 時間に短縮されます。
同期進捗のモニタリング: 右上隅の タスク管理 をクリックし、コンテナ資産同期 および イメージ資産同期 タブを確認して、スキャンを実行する前にリポジトリが準備完了していることを確認します。
ベースラインチェックの設定
スキャン設定 パネルで、ベースライン構成管理 タブをクリックします。
構成範囲 の右側にある 管理 をクリックします。
ベースラインチェック範囲 パネルで、チェック対象のベースラインを選択し、確定 をクリックします。
Access Key の平文保存 および パスワード漏洩 のベースラインは、ベースライン構成管理 タブ内の AccessKey 漏洩検出 および パスワード漏洩検出 スイッチに対応しています。ここでの選択により、対応するスイッチが自動的に有効化され、個別の設定は不要です。
設定後、選択したベースラインは、手動スキャンを実行するか、定期スキャンが開始されるたびにチェックされます。
コンテナランタイムイメージスキャンの設定
コンテナランタイムイメージスキャンは、実行中のコンテナ内で稼働しているイメージの脆弱性を検出します。手動スキャンのみがサポートされています。
スキャン設定 パネルで、コンテナランタイムイメージスキャン タブをクリックします。
スキャン範囲の設定 をクリックします。ダイアログボックスで、スキャン対象のクラスターおよびアプリケーション名を選択し、OK をクリックします。
今すぐスキャン をクリックして、即時にスキャンを開始します。
スキャン完了後、タスク管理 > コンテナランタイムイメージスキャン に移動して進捗を確認し、コンテナイメージスキャン ページの イメージ脆弱性リスク タブで検出された脆弱性を確認します。
機密ファイルスキャンの設定
Security Center は、イメージレイヤー内の機密データ(埋め込まれた認証情報を含むアプリケーション構成ファイル、証明書およびキー、認証トークン、クラウドプロバイダーのアクセスキーなど)を検出できます。
機密ファイルスキャンは静的スキャンのみであり、ランタイム検出はサポートされていません。
スキャン設定 パネルで、機密ファイルスキャン設定 タブをクリックします。
構成範囲 の右側にある 管理 をクリックします。
機密ファイルスキャン設定 パネルで、含めるチェック項目を選択します。
機密ファイル検出スイッチを切り替えて有効化します。
有効化後、機密ファイルスキャンは脆弱性およびベースラインスキャンと同時に実行されます。これは、[今すぐスキャン] および定期スキャンの両方で適用されます。
リスクのあるファイルホワイトリストの設定
特定の機密ファイル、ビルド命令リスク、または悪意あるサンプルのアラートが予期される、あるいは許容される場合、それらをホワイトリストに追加します。Security Center は、ホワイトリストに登録された項目についてアラートを生成しなくなります。
ホワイトリストは、悪意あるイメージサンプル、機密イメージファイル、イメージビルドコマンドのリスク タブで却下したアラートから自動的に構成されます。最初のスキャンを実行する前には、ホワイトリストを設定できません。
スキャン設定 パネルで、リスクのあるファイルホワイトリスト設定 タブをクリックします。
機密ファイル、コンテナビルド、または 悪意あるサンプル タブで、対象のアラートタイプを見つけ、以下の操作を行います。
編集: 操作 列の 編集 をクリックし、ホワイトリストの範囲を すべてのイメージリポジトリ または 現在のイメージリポジトリのみ に設定します。
削除: 操作 列の 削除 をクリックして、ホワイトリストからアラートタイプを削除します。Security Center は、そのリスクの検出およびアラート機能を再開します。
自動脆弱性修正の設定
Security Center は、Container Registry Enterprise Edition(ACR Enterprise Edition)イメージリポジトリ内のシステム脆弱性を自動的に修正できます。
スキャン設定 パネルで、イメージリスク修正構成 タブをクリックします。
修正構成 スイッチをクリックして、自動修正を有効化します。
以下のパラメーターを設定します。
パラメーター 説明 修正期間 Security Center が修正を適用する頻度です。 修正範囲 ACR Enterprise Edition インスタンス内の、修正対象となるイメージリポジトリです。 時間範囲 この期間内に更新されたイメージのみが修正対象となります。イメージが一度も更新されていない場合は、作成時刻が使用されます。たとえば、7 日間 を選択した場合、過去 7 日間に更新されたイメージのみが修正されます。
有効化後、Security Center は手動スキャンの実行時または定期スキャンタスクの開始時に修正を適用します。是正処置のステータスを確認するには、タスク管理 > イメージ是正処置 に移動します。
脆弱性ホワイトリストの設定
特定の脆弱性をスキャン対象から除外するには、脆弱性ホワイトリストに追加します。Security Center は、ホワイトリストに登録された脆弱性についてアラートを生成しなくなります。
スキャン設定 パネルで、脆弱性ホワイトリスト設定 タブをクリックします。
ホワイトリストルールを管理します。
ルールの作成: ルールの作成 をクリックし、ホワイトリストの範囲および適用可能な脆弱性タイプを構成します。
ルールの編集: 操作 列の 編集 をクリックして、ルール範囲、イメージ選択、または 備考 を更新します。
ルールの削除: 操作 列の 削除 をクリックします。Security Center は、その脆弱性の検出およびアラート機能を再開します。
「[スキャン設定]」パネルの右上隅にある
アイコンをクリックして、パネルを閉じます。
ステップ 2:イメージセキュリティスキャンの実行
スキャン範囲を設定した後、手動でスキャンを実行するか、定期スケジュールに依存します。
初回スキャンでは、Security Center がイメージの設定済み VPC 内にリバースエンドポイントを自動的に作成します。このエンドポイントにより、Security Center サービスは VPC 内の Container Registry Enterprise Edition インスタンスにアクセスできます。このエンドポイントを削除しないでください。詳細については、「自動作成されるリバースエンドポイント」をご参照ください。
即時スキャンの実行
Security Center コンソールSecurity Center コンソール にログインします。左上隅からリージョンを選択します:中国本土 または 中国本土以外。Security Center コンソール にログインします。
左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > コンテナイメージスキャン を選択します。
今すぐスキャン をクリックします。
クイックスキャン ダイアログボックスでは、接続済みのすべてのイメージタイプがデフォルトで選択されています。含めたくないタイプを解除選択し、OK をクリックします。このダイアログボックスには、Security Center で既に構成済みのタイプのみが表示されます。
イメージタイプ スキャン対象 acr Container Registry コンソール harbor、quay、gitlab Security Center に接続済みのプライベートリポジトリ コンテナ コンテナランタイムスキャン範囲設定に基づくコンテナランタイムイメージ
スキャン結果は約 1 分後に表示されます。ページを更新して、更新されたリスク一覧を確認します。
定期スキャンの設定
Security Center コンソールSecurity Center コンソール にログインします。左上隅からリージョンを選択します:中国本土 または 中国本土以外。Security Center コンソール にログインします。
左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > コンテナイメージスキャン を選択します。
右上隅で、スキャン設定 をクリックします。
スキャン構成 タブで スキャン周期 を設定し、スキャン設定 パネルを閉じます。
Security Center は、設定した周期に基づいて自動的にスキャンを実行し、ステップ 1 で設定した完全なスキャン範囲構成を使用します。
ステップ 3:スキャン進捗のモニタリング
コンテナイメージスキャン ページの右上隅で、タスク管理 をクリックします。
タスク管理 パネルで、イメージスキャン タブをクリックします。
各タスクの進捗およびステータスを確認します。操作 列の 詳細 をクリックすると、実行ログ(失敗したイメージおよび各失敗の原因を含む)を表示できます。
次のステップ
スキャンが完了したら、検出されたリスクを確認し、適切な対応を行ってください。詳細については、「検出されたイメージリスクの確認と対応」をご参照ください。
付録
自動作成されるリバースエンドポイントの説明
初めてイメージセキュリティスキャンを実行すると、Security Center はイメージの設定済み VPC 内にリバースエンドポイントを自動的に作成します。このエンドポイントにより、Security Center サービスは VPC 内の Container Registry Enterprise Edition インスタンスに到達できます。リバースエンドポイントの動作原理については、「仕組み」をご参照ください。
このエンドポイントを削除しないでください。料金は発生せず、他の Alibaba Cloud プロダクトにも影響を与えません。
VPC 内でイメージセキュリティスキャンが 1 か月間実行されない場合、リバースエンドポイントは自動的に削除されます。次回のスキャンでは、新たに自動作成されますので、特別な操作は不要です。
サポート対象のリージョンおよびゾーン
以下に、イメージセキュリティスキャン機能を有効化した Container Registry Enterprise Edition インスタンスで使用される VPC および vSwitch のサポート対象リージョンおよびゾーンを示します。設定済みの VPC および vSwitch が以下のリストに含まれていない場合、当該インスタンスではイメージスキャンは利用できません。
パブリッククラウド
| リージョン名 | リージョン ID | サポート対象ゾーン | ゾーン名 | ゾーン ID |
|---|---|---|---|---|
| 中国 (青島) | cn-qingdao | 2 | 青島ゾーン B | cn-qingdao-b |
| 青島ゾーン C | cn-qingdao-c | |||
| 中国 (北京) | cn-beijing | 10 | 北京ゾーン C | cn-beijing-c |
| 北京ゾーン D | cn-beijing-d | |||
| 北京ゾーン E | cn-beijing-e | |||
| 北京ゾーン F | cn-beijing-f | |||
| 北京ゾーン G | cn-beijing-g | |||
| 北京ゾーン H | cn-beijing-h | |||
| 北京ゾーン I | cn-beijing-i | |||
| 北京ゾーン J | cn-beijing-j | |||
| 北京ゾーン K | cn-beijing-k | |||
| 北京ゾーン L | cn-beijing-l | |||
| 中国 (張家口) | cn-zhangjiakou | 3 | 張家口ゾーン A | cn-zhangjiakou-a |
| 張家口ゾーン B | cn-zhangjiakou-b | |||
| 張家口ゾーン C | cn-zhangjiakou-c | |||
| 中国 (フフホト) | cn-huhehaote | 2 | フフホトゾーン A | cn-huhehaote-a |
| フフホトゾーン B | cn-huhehaote-b | |||
| 中国 (ウランチャブ) | cn-wulanchabu | 3 | ウランチャブゾーン A | cn-wulanchabu-a |
| ウランチャブゾーン B | cn-wulanchabu-b | |||
| ウランチャブゾーン C | cn-wulanchabu-c | |||
| 中国 (杭州) | cn-hangzhou | 7 | 杭州ゾーン B | cn-hangzhou-b |
| 杭州ゾーン F | cn-hangzhou-f | |||
| 杭州ゾーン G | cn-hangzhou-g | |||
| 杭州ゾーン H | cn-hangzhou-h | |||
| 杭州ゾーン I | cn-hangzhou-i | |||
| 杭州ゾーン J | cn-hangzhou-j | |||
| 杭州ゾーン K | cn-hangzhou-k | |||
| 中国 (上海) | cn-shanghai | 8 | 上海ゾーン A | cn-shanghai-a |
| 上海ゾーン B | cn-shanghai-b | |||
| 上海ゾーン E | cn-shanghai-e | |||
| 上海ゾーン F | cn-shanghai-f | |||
| 上海ゾーン G | cn-shanghai-g | |||
| 上海ゾーン L | cn-shanghai-l | |||
| 上海ゾーン M | cn-shanghai-m | |||
| 上海ゾーン N | cn-shanghai-n | |||
| 中国 (深セン) | cn-shenzhen | 4 | 深センゾーン C | cn-shenzhen-c |
| 深センゾーン D | cn-shenzhen-d | |||
| 深センゾーン E | cn-shenzhen-e | |||
| 深センゾーン F | cn-shenzhen-f | |||
| 中国 (河源) | cn-heyuan | 2 | 河源ゾーン A | cn-heyuan-a |
| 河源ゾーン B | cn-heyuan-b | |||
| 中国 (広州) | cn-guangzhou | 2 | 広州ゾーン A | cn-guangzhou-a |
| 広州ゾーン B | cn-guangzhou-b | |||
| 中国 (成都) | cn-chengdu | 2 | 成都ゾーン A | cn-chengdu-a |
| 成都ゾーン B | cn-chengdu-b | |||
| 中国 (香港) | cn-hongkong | 3 | 香港ゾーン B | cn-hongkong-b |
| 香港ゾーン C | cn-hongkong-c | |||
| 香港ゾーン D | cn-hongkong-d | |||
| シンガポール | ap-southeast-1 | 3 | シンガポールゾーン A | ap-southeast-1a |
| シンガポールゾーン B | ap-southeast-1b | |||
| シンガポールゾーン C | ap-southeast-1c | |||
| マレーシア (クアラルンプール) | ap-southeast-3 | 3 | クアラルンプールゾーン A | ap-southeast-3a |
| クアラルンプールゾーン B | ap-southeast-3b | |||
| クアラルンプールゾーン C | ap-southeast-3c | |||
| インドネシア (ジャカルタ) | ap-southeast-5 | 3 | ジャカルタゾーン A | ap-southeast-5a |
| ジャカルタゾーン B | ap-southeast-5b | |||
| ジャカルタゾーン C | ap-southeast-5c | |||
| フィリピン (マニラ) | ap-southeast-6 | 1 | マニラゾーン A | ap-southeast-6a |
| タイ (バンコク) | ap-southeast-7 | 2 | バンコクゾーン A | ap-southeast-7a |
| バンコクゾーン B | ap-southeast-7b | |||
| 日本 (東京) | ap-northeast-1 | 3 | 東京ゾーン A | ap-northeast-1a |
| 東京ゾーン B | ap-northeast-1b | |||
| 東京ゾーン C | ap-northeast-1c | |||
| 韓国 (ソウル) | ap-northeast-2 | 2 | ソウルゾーン A | ap-northeast-2a |
| ソウルゾーン B | ap-northeast-2b | |||
| 米国 (シリコンバレー) | us-west-1 | 2 | シリコンバレー ゾーン A | us-west-1a |
| シリコンバレー ゾーン B | us-west-1b | |||
| 米国 (バージニア) | us-east-1 | 2 | バージニア ゾーン A | us-east-1a |
| バージニア ゾーン B | us-east-1b | |||
| ドイツ (フランクフルト) | eu-central-1 | 3 | フランクフルト ゾーン A | eu-central-1a |
| フランクフルト ゾーン B | eu-central-1b | |||
| フランクフルト ゾーン C | eu-central-1c | |||
| イギリス (ロンドン) | eu-west-1 | 2 | ロンドン ゾーン A | eu-west-1a |
| ロンドン ゾーン B | eu-west-1b |
金融クラウド
| リージョン名 | リージョン ID | 都市 | サポート対象ゾーン | ゾーン名 | ゾーン ID |
|---|---|---|---|---|---|
| 中国 (上海) 金融クラウド | shanghai-finance-1 | 上海 | 4 | 中国 (上海) 金融クラウド ゾーン F | cn-shanghai-finance-1f |
| 中国 (上海) 金融クラウド ゾーン G | cn-shanghai-finance-1g | ||||
| 中国 (上海) 金融クラウド ゾーン K | cn-shanghai-finance-1k | ||||
| 中国 (上海) 金融クラウド ゾーン Z | cn-shanghai-finance-1z | ||||
| 中国 (深セン) 金融クラウド | cn-shenzhen-finance-1 | 深セン | 2 | 中国 (深セン) 金融クラウド ゾーン D | cn-shenzhen-finance-1d |
| 中国 (深セン) 金融クラウド ゾーン E | cn-shenzhen-finance-1e | ||||
| 中国 (北京) 金融クラウド (招待プレビュー) | cn-beijing-finance-1 | 北京 | 2 | 中国 (北京) 金融クラウド (招待プレビュー) ゾーン K | cn-beijing-finance-1k |
| 中国 (北京) 金融クラウド (招待プレビュー) ゾーン L | cn-beijing-finance-1l |
Gov Cloud
| リージョン名 | リージョン ID | 都市 | サポート対象ゾーン | ゾーン名 | ゾーン ID |
|---|---|---|---|---|---|
| 中国 (北京) Gov Cloud 1 | cn-north-2-gov-1 | 北京 | 3 | 中国 (北京) Gov Cloud 1 ゾーン B | cn-north-2-gov-1b |
| 中国 (北京) Gov Cloud 1 ゾーン C | cn-north-2-gov-1c | ||||
| 中国 (北京) Gov Cloud 1 ゾーン D | cn-north-2-gov-1d |