Security Center的鏡像安全掃描功能,可以協助您檢測您的鏡像中是否存在鏡像漏洞、基準風險、惡意樣本和敏感檔案,為您創造安全的鏡像運行環境。本文介紹如何進行鏡像安全掃描。
前提條件
已開通容器鏡像安全掃描功能,併購買足夠的容器鏡像安全掃描次數(即授權數)。具體操作,請參見開通容器鏡像安全掃描功能。
已購買Container Registry企業版執行個體或已接入私人鏡像倉庫。相關內容,請參見建立企業版執行個體和接入鏡像倉庫。
如果您的企業版執行個體配置為專用網路,則所配置的專用網路必須滿足特定的地區和可用性區域限制。即必須選擇在指定地區內的指定可用性區域內的交換器,才可支援掃描。有關具體的支援列表,請參見支援的地區和可用性區域。
背景資訊
鏡像上的基礎系統軟體、中介軟體、Web應用、資料庫服務等,可能會存在挖礦木馬、後門程式等安全性漏洞,危害您的資產安全。
Security Center支援掃描的鏡像檢查項包含鏡像系統漏洞、鏡像應用漏洞、鏡像基準檢查、鏡像惡意樣本、鏡像敏感檔案、鏡像構建指令風險。詳細說明,請參見支援掃描的安全鏡像特性。
使用說明
掃描鏡像倉庫:已建立的ACR企業版鏡像倉庫、接入Security Center的Harbor、Quay和GitLab鏡像倉庫。
安全掃描範圍:預設覆蓋所有鏡像倉庫和檢查項,支援根據業務需求設定掃描範圍,包括鏡像倉庫、基準檢查項、漏洞白名單、敏感檔案類型白名單和風險檔案白名單等。具體操作,請參見步驟一:配置鏡像安全掃描範圍。
掃描方式:立即執行鏡像安全掃描(手動掃描)、配置鏡像安全掃描周期(定期掃描)。
手動掃描和定期掃描都會按照上述安全掃描範圍的設定進行鏡像安全掃描。
掃描任務的資源抵扣:Security Center是以摘要(Digest)值標識一個鏡像,鏡像的摘要值不變時,只在第一次掃描時消耗一個鏡像安全掃描次數。摘要值變化後,執行掃描操作會重新消耗鏡像安全掃描次數。
執行鏡像安全掃描前,請確保您有足夠的容器鏡像安全掃描次數。詳細內容,請參見開通鏡像安全掃描服務。
掃描時間長度:Security Center為保障鏡像掃描任務的穩定性,設定每一次鏡像掃描任務的逾時時間為4個小時(不支援修改)。掃描任務執行4個小時後,即使該次掃描任務內還有鏡像倉庫未被掃描,也會停止執行。
說明建議您在執行鏡像安全掃描任務前,先設定需要掃描的鏡像倉庫。如果是harbor鏡像倉庫,可以設定鏡像掃描的限速,以提高鏡像安全掃描的效率。具體內容,請參見本文的管理鏡像倉。
步驟一:配置鏡像安全掃描範圍
鏡像安全掃描範圍的配置在手動掃描和定期掃描中都生效。
登入Security Center控制台。在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在鏡像安全掃描頁面的右上方,單擊掃描設定。
單擊對應的功能頁簽,設定鏡像掃描任務的檢查範圍。
配置掃描參數
在掃描設定面板的掃描配置頁簽,配置相關參數。
配置項
說明
已消耗授權數/總授權
顯示您已使用和已購買的容器鏡像安全掃描次數。如果您的鏡像安全掃描次數即將耗盡,您可以單擊擴容購買鏡像安全掃描次數。
掃描周期
選擇執行鏡像安全掃描的周期。該參數僅針對定期掃描生效。
掃描範圍
設定需要掃描的鏡像倉庫範圍。具體操作如下:
單擊掃描範圍右側的管理。
在鏡像管理對話方塊中,選中需要掃描的鏡像倉庫名稱前的複選框。
倉庫列表右上方預設開啟當有新增鏡像倉時是否自動加入掃描,表示後續如果有新增接入的鏡像倉庫,在定期掃描時,會自動加入掃描範圍,進行鏡像安全掃描。您可以單擊開關
表徵圖,關閉該功能。單擊確定。
掃描時間範圍
選擇鏡像漏洞掃描的時間範圍。
重要掃描時間範圍以鏡像的本地更新時間為準。若無更新時間,則以本地建立鏡像的時間為準,時間範圍決定鏡像是否會被掃描。
例如,掃描時間範圍選擇為最近7天,那麼Security Center會掃描最近7天以內更新的鏡像。
如果有更新時間,鏡像本地更新時間已超過7天,則掃描任務狀態為成功,但執行成功的掃描量為0。
如果沒有更新時間,鏡像本地建立時間已超過7天,則同上述情境一樣,鏡像也不會被掃描。
漏洞保留時間長度
設定鏡像漏洞定期掃描結果保留的時間長度。Security Center會自動刪除超過保留時間長度的漏洞掃描結果。
管理鏡像倉
您可單擊鏡像倉頁簽,查看支援掃描的Container Registry企業版執行個體(鏡像庫類型為acr)和已接入的私人鏡像倉庫(鏡像庫類型為harbor、quay、gitlab等)列表。
說明Security Center會自動同步當前阿里雲帳號下的Container Registry企業版執行個體至鏡像倉庫列表中,不支援在鏡像倉庫列表中移除Container Registry企業版執行個體。
您可以在鏡像安全掃描頁面的右上方,單擊任務管理,在容器資產同步和鏡像資產同步頁簽查看資產同步進度和狀態。
如需掃描不在鏡像倉庫列表中的私人鏡像倉庫,您可以單擊接入鏡像倉接入您的私人鏡像倉庫。具體操作,請參見接入鏡像倉庫。
如果鏡像倉庫列表中的某個私人鏡像倉庫無需掃描,您可以單擊私人鏡像倉庫操作列的移除,並在提示對話方塊單擊確定,將其移除。
說明鏡像倉庫列表中的兩個預設鏡像倉(鏡像倉類型為acr、defaultAcr)不支援刪除。
如果是harbor鏡像倉,您可以單擊操作列的編輯,設定鏡像掃描的限速,以提高鏡像安全掃描的效率。限速表示1個小時內可完成掃描的鏡像個數,預設為10。
例如,該harbor鏡像倉庫中有200個鏡像,使用預設限速,完成掃描需要20小時,而每一次掃描任務的全域逾時時間為4小時,無法全域掃描所有鏡像。如果將限速設定為200,則僅需1小時即可完成掃描。您可以根據實際業務情況和網路狀況合理設定。
配置鏡像基準掃描
您可以在配置鏡像漏洞掃描的同時,配置鏡像基準檢查相關項目。
在掃描配置面板,單擊基準組態管理頁簽。
單擊配置範圍右側的管理。
在基準檢查範圍面板中,選擇您要檢查的基準,然後單擊確認。
重要基準檢查範圍面板的Access Key明文儲存、密碼泄漏基準檢查分別對應Access Key泄露檢查、密碼泄露檢查。如果您在基準檢查範圍面板上已經選擇了Access Key明文儲存和密碼泄漏兩個基準,基準組態管理下方的Access Key泄露檢查和密碼泄露檢查的配置狀態開關會自動開啟,您無需再重複設定。您也可以通過Access Key泄露檢查、密碼泄露檢查後面的開關快捷開啟或關閉這兩個基準。
配置完成後,當您執行立即掃描操作或配置的周期性掃描時,系統將對您鏡像的基準配置進行檢查。
立即執行容器運行時鏡像掃描
容器運行時鏡像掃描功能可以幫您檢測容器運行時是否存在安全風險。
重要容器運行時鏡像掃描僅支援手動掃描,不支援設定定期掃描。
登入Security Center控制台。在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在鏡像安全掃描頁面的右上方,單擊掃描設定。
在掃描配置面板,單擊容器運行時鏡像掃描頁簽。
單擊配置掃描範圍,在彈出的對話方塊中,單擊需要掃描的叢集,然後選擇叢集下需要掃描的應用程式名稱,單擊確定。
單擊立即掃描。
執行立即掃描後,您可以在鏡像安全掃描頁面的右上方,單擊任務管理,前往任務管理面板的容器運行時鏡像掃描頁簽查看掃描進度。掃描完成後,在鏡像安全掃描頁面鏡像漏洞風險頁簽下,可查看檢測出的漏洞。
配置鏡像敏感檔案掃描
鏡像敏感檔案掃描功能支援檢測常見的敏感檔案和您自訂的鏡像檔案中是否存在敏感性資料,支援檢測的常見敏感檔案類型包括:包含敏感資訊的應用配置、通用的認證密鑰、應用認證或登入憑證、雲端服務器廠商的相關憑證等。該功能可以發現鏡像環境中的敏感資訊,您及時處理檢測出的敏感性資料可以提高鏡像運行環境的安全性。
重要僅支援靜態鏡像掃描,不支援運行時敏感檔案檢測。
在扫描设置面板,單擊敏感檔案掃描配置頁簽。
單擊配置範圍右側的管理。
在敏感檔案掃描配置面板中,選擇需要掃描的檢查項。
開啟或關閉敏感檔案檢測開關。
啟用敏感檔案檢測開關後,當您執行立即掃描或配置的周期性掃描時,將同時進行敏感檔案檢測。
配置風險檔案白名單
如果不需要掃描某鏡像敏感檔案、鏡像構建指令、鏡像惡意樣本的警示風險,您可以將該鏡像敏感檔案、鏡像構建指令風險或鏡像惡意樣本風險的警示類型添加到白名單中,系統不會檢測白名單中的風險。
說明風險檔案白名單列表展示在鏡像惡意樣本、鏡像敏感檔案和鏡像構建指令風險列表中已經加入白名單的警示類型和鏡像倉庫。具體操作,請參見修複鏡像掃描風險。
首次使用鏡像安全掃描功能時,無法配置風險檔案白名單。
在扫描设置面板,單擊風險檔案白名單配置頁簽。
配置風險檔案白名單。
編輯白名單規則:在敏感檔案、容器構建或惡意樣本頁簽,找到目標警示類型,單擊操作列的編輯,選擇規則範圍:全部鏡像倉庫或僅當前鏡像倉庫(選擇需要加白的鏡像倉庫)。
刪除白名單規則:在敏感檔案、容器構建或惡意樣本頁簽,找到目標警示類型,單擊操作列的刪除,刪除該白名單。從白名單移除警示規則後,Security Center將重新啟用對該鏡像惡意樣本、鏡像敏感檔案或鏡像構建指令風險的檢測和警示。
配置鏡像修複
Security Center支援自動修複企業版ACR的鏡像倉庫的系統漏洞,您可以開啟自動修複,並設定修複周期、修複範圍等。
在扫描设置面板,單擊鏡像修複配置頁簽。
單擊修複配置開關,可開啟或關閉自動修複功能。
如果開啟修複配置,可以選擇修複周期、修複範圍(企業版ACR的鏡像倉庫)和時間範圍(在此時間範圍內更新過的鏡像,會被修複)。
重要修複時間範圍以鏡像的更新時間為準,若無更新時間,則以建立時間為準。時間範圍決定鏡像是否會被修複。例如,時間範圍選擇為7天,那麼Security Center會修複最近7天以內更新的鏡像。鏡像更新時間超過7天,則不會被修複。
在您執行立即掃描操作或配置的周期性掃描後,根據您設定的修複周期,會定期排查和修複目標鏡像的系統漏洞。
您可以在鏡像安全掃描頁面的右上方,單擊任務管理,前往任務管理面板的鏡像修複頁簽查看鏡像系統漏洞的修複狀態。
配置漏洞白名單
如果無需掃描某個鏡像漏洞,您可以將該漏洞添加到漏洞白名單中,系統不會檢測漏洞白名單中的漏洞。
在扫描设置面板,單擊漏洞白名單配置頁簽。
配置漏洞白名單。
新增漏洞白名單規則:單擊新增規則,在新增規則面板上為不同類型的漏洞自訂白名單規則。
編輯漏洞白名單規則:單擊目標白名單規則操作列的編輯,修改該白名單的規則範圍、鏡像選擇和備忘。
刪除漏洞白名單規則:單擊目標白名單規則操作列的刪除,刪除該白名單規則。漏洞從白名單移除後,Security Center將重新啟用對該漏洞的檢測和警示。
單擊面板右上方的關閉
表徵圖,關閉掃描設定面板。
步驟二:執行鏡像安全掃描
配置鏡像安全掃描範圍後,手動掃描和定期掃描都會按照掃描配置面板的配置項設定進行。
首次執行鏡像安全掃描時,Security Center會自動在鏡像所配置的專用網路中建立反向終端節點。該反向終端節點用於允許阿里雲Security Center服務訪問您VPC中的Container Registry企業版執行個體,請勿刪除。更多資訊,請參見自動建立的反向終端節點說明。
立即執行鏡像安全掃描(手動掃描)
如果您需要立即執行鏡像安全掃描,可以手動開始鏡像掃描。
立即掃描預設覆蓋當前已接入Security Center的所有鏡像倉庫,您可以先在掃描設定面板配置掃描範圍(需要掃描的鏡像倉庫、容器運行時掃描配置、漏洞白名單配置等),然後再手動執行掃描任務。具體內容,請參見本文的步驟一:配置鏡像安全掃描範圍。
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在鏡像安全掃描頁面,單擊立即掃描。
在一鍵掃描對話方塊中預設已選中所有鏡像類型,取消選中不需要掃描的鏡像類型,然後單擊確定。
目前支援選擇以下類型:
acr:Security Center將檢測您在Container Registry控制台建立的企業版執行個體是否存在安全風險。
harbor、quay、gitlab:Security Center將檢測您已接入的私人鏡像倉庫是否存在安全風險。
container:Security Center按照容器運行時掃描配置,立即執行容器運行時鏡像掃描。
以上可選類型,必須已在Security Center完成配置,否則不顯示。
您也可以單擊配置掃描範圍,在掃描設定面板,完成掃描範圍相關配置項的配置,然後重複上一步驟,重新進入一鍵掃描對話方塊。詳細配置,請參見本文的步驟一:配置鏡像安全掃描範圍。
鏡像風險掃描結果的展示預計需要一分鐘的時間,您可以在一分鐘後手動重新整理頁面,在下方的風險列表中查看掃描結果。
配置鏡像安全掃描周期(定期掃描)
Security Center預設按照掃描設定面板的掃描周期自動掃描您的容器資產中是否存在鏡像漏洞或惡意樣本,您可以參照以下步驟修改鏡像漏洞掃描周期。
登入Security Center控制台。在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在鏡像安全掃描頁面的右上方,單擊掃描設定。
在掃描設定面板的掃描配置頁簽,設定掃描周期,然後關閉掃描設定面板。
完成掃描周期配置後,Security Center將按照您的漏洞掃描配置(請參見本文的步驟一:配置鏡像安全掃描範圍),對您的鏡像進行安全掃描。
步驟三:查看鏡像掃描任務進度和狀態
在鏡像安全掃描頁面的右上方,單擊任務管理。
在任務管理面板,單擊鏡像掃描頁簽。
查看任務進度和狀態後,單擊操作列的詳情,可以查看當前任務的執行日誌。
例如,執行失敗的鏡像資訊和失敗原因。
後續步驟
執行完鏡像安全掃描後,您可以查看鏡像安全掃描結果。更多資訊,請參見查看掃描出的鏡像風險及修複說明。
附錄
自動建立的反向終端節點說明
首次執行鏡像安全掃描時,Security Center會自動在鏡像所配置的專用網路中建立反向終端節點。該節點用於允許阿里雲Security Center服務訪問您VPC中的Container Registry企業版執行個體,請勿刪除該節點。關於反向終端節點的更多資訊,請參見工作原理。
該反向終端節點不會產生任何費用,或對阿里雲產品產生任何影響。如果Security Center在一個月內在VPC內未執行過鏡像安全掃描,則該VPC下的反向終端節點會被自動刪除。在下一次執行掃描時,會自動建立新的反向終端節點,無需您進行任何操作。
支援的地區和可用性區域
下文將介紹使用鏡像安全掃描的Container Registry企業版執行個體配置所需的Virtual Private Cloud 和交換器的地區及可用性區域列表。如果配置的Virtual Private Cloud 和交換器不在以下列表中,則該企業版執行個體將不支援掃描。
公用雲
地區名稱
地區ID
支援的可用性區域數量
可用性區域名稱
可用性區域ID
華北1(青島)
cn-qingdao
2
青島 可用性區域B
cn-qingdao-b
青島 可用性區域C
cn-qingdao-c
華北2(北京)
cn-beijing
10
北京 可用性區域C
cn-beijing-c
北京 可用性區域D
cn-beijing-d
北京 可用性區域E
cn-beijing-e
北京 可用性區域F
cn-beijing-f
北京 可用性區域G
cn-beijing-g
北京 可用性區域H
cn-beijing-h
北京 可用性區域I
cn-beijing-i
北京 可用性區域J
cn-beijing-j
北京 可用性區域K
cn-beijing-k
北京 可用性區域L
cn-beijing-l
華北3(張家口)
cn-zhangjiakou
3
張家口 可用性區域A
cn-zhangjiakou-a
張家口 可用性區域B
cn-zhangjiakou-b
張家口 可用性區域C
cn-zhangjiakou-c
華北5(呼和浩特)
cn-huhehaote
2
呼和浩特 可用性區域A
cn-huhehaote-a
呼和浩特 可用性區域B
cn-huhehaote-b
華北6(烏蘭察布)
cn-wulanchabu
3
烏蘭察布 可用性區域A
cn-wulanchabu-a
烏蘭察布 可用性區域B
cn-wulanchabu-b
烏蘭察布 可用性區域C
cn-wulanchabu-c
華東1(杭州)
cn-hangzhou
7
杭州 可用性區域B
cn-hangzhou-b
杭州 可用性區域F
cn-hangzhou-f
杭州 可用性區域G
cn-hangzhou-g
杭州 可用性區域H
cn-hangzhou-h
杭州 可用性區域I
cn-hangzhou-i
杭州 可用性區域J
cn-hangzhou-j
杭州 可用性區域K
cn-hangzhou-k
華東2(上海)
cn-shanghai
8
上海 可用性區域A
cn-shanghai-a
上海 可用性區域B
cn-shanghai-b
上海 可用性區域E
cn-shanghai-e
上海 可用性區域F
cn-shanghai-f
上海 可用性區域G
cn-shanghai-g
上海 可用性區域L
cn-shanghai-l
上海 可用性區域M
cn-shanghai-m
上海 可用性區域N
cn-shanghai-n
華南1(深圳)
cn-shenzhen
4
深圳 可用性區域C
cn-shenzhen-c
深圳 可用性區域D
cn-shenzhen-d
深圳 可用性區域E
cn-shenzhen-e
深圳 可用性區域F
cn-shenzhen-f
華南2(河源)
cn-heyuan
2
河源 可用性區域A
cn-heyuan-a
河源 可用性區域B
cn-heyuan-b
華南3(廣州)
cn-guangzhou
2
廣州 可用性區域A
cn-guangzhou-a
廣州 可用性區域B
cn-guangzhou-b
西南1(成都)
cn-chengdu
2
成都 可用性區域A
cn-chengdu-a
成都 可用性區域B
cn-chengdu-b
中國香港
cn-hongkong
3
香港 可用性區域B
cn-hongkong-b
香港 可用性區域C
cn-hongkong-c
香港 可用性區域D
cn-hongkong-d
新加坡
ap-southeast-1
3
新加坡 可用性區域A
ap-southeast-1a
新加坡 可用性區域B
ap-southeast-1b
新加坡 可用性區域C
ap-southeast-1c
馬來西亞(吉隆坡)
ap-southeast-3
3
吉隆坡 可用性區域A
ap-southeast-3a
吉隆坡 可用性區域B
ap-southeast-3b
吉隆坡 可用性區域C
ap-southeast-3c
印尼(雅加達)
ap-southeast-5
3
雅加達 可用性區域A
ap-southeast-5a
雅加達 可用性區域B
ap-southeast-5b
雅加達 可用性區域C
ap-southeast-5c
菲律賓(馬尼拉)
ap-southeast-6
1
馬尼拉 可用性區域A
ap-southeast-6a
泰國(曼穀)
ap-southeast-7
2
曼穀 可用性區域A
ap-southeast-7a
曼穀 可用性區域B
ap-southeast-7b
日本(東京)
ap-northeast-1
3
東京 可用性區域A
ap-northeast-1a
東京 可用性區域B
ap-northeast-1b
東京 可用性區域C
ap-northeast-1c
韓國(首爾)
ap-northeast-2
2
首爾 可用性區域A
ap-northeast-2a
首爾 可用性區域B
ap-northeast-2b
美國(矽谷)
us-west-1
2
矽谷 可用性區域A
us-west-1a
矽谷 可用性區域B
us-west-1b
美國(維吉尼亞)
us-east-1
2
維吉尼亞 可用性區域A
us-east-1a
維吉尼亞 可用性區域B
us-east-1b
德國(法蘭克福)
eu-central-1
3
法蘭克福 可用性區域A
eu-central-1a
法蘭克福 可用性區域B
eu-central-1b
法蘭克福 可用性區域C
eu-central-1c
英國(倫敦)
eu-west-1
2
倫敦 可用性區域A
eu-west-1a
倫敦 可用性區域B
eu-west-1b
金融雲
地區名稱
地區ID
所在城市
可用性區域數量
可用性區域名稱
可用性區域ID
華東2 金融雲
shanghai-finance-1
上海
4
華東2 金融雲 可用性區域F
cn-shanghai-finance-1f
華東2 金融雲 可用性區域G
cn-shanghai-finance-1g
華東2 金融雲 可用性區域K
cn-shanghai-finance-1k
華東2 金融雲 可用性區域Z
cn-shanghai-finance-1z
華南1 金融雲
cn-shenzhen-finance-1
深圳
2
華南1 金融雲 可用性區域D
cn-shenzhen-finance-1d
華南1 金融雲 可用性區域E
cn-shenzhen-finance-1e
華北2 金融雲(邀測)
cn-beijing-finance-1
北京
2
華北2 金融雲(邀測)可用性區域K
cn-beijing-finance-1k
華北2 金融雲(邀測)可用性區域L
cn-beijing-finance-1l
政務雲
地區名稱
地區ID
所在城市
可用性區域數量
可用性區域名稱
可用性區域ID
華北2 阿里政務雲1
cn-north-2-gov-1
北京
3
華北2 阿里政務雲1 可用性區域B
cn-north-2-gov-1b
華北2 阿里政務雲1 可用性區域C
cn-north-2-gov-1c
華北2 阿里政務雲1 可用性區域D
cn-north-2-gov-1d