Security Center提供的鏡像安全掃描功能,可以檢測您的鏡像資產中存在的系統漏洞、應用漏洞、基準風險和惡意樣本,並進行分類展示,協助您全面瞭解您的鏡像資產中存在的安全風險。本文介紹如何查看您鏡像資產存在的安全風險及對應修複說明。
前提條件
已執行鏡像安全掃描。具體操作,請參見配置和執行鏡像安全掃描。
背景資訊
鏡像安全掃描功能支援檢測鏡像系統漏洞、鏡像應用漏洞、基準風險、鏡像惡意樣本和鏡像敏感檔案,修複部分鏡像系統漏洞,其餘類型均不支援修複。建議您根據云資訊安全中心提供的修複命令、影響說明或惡意檔案路徑等資訊,及時處理容器中存在的安全風險。
查看風險統計資訊
Security Center支援查看存在高、中、低風險的鏡像統計資料,及已掃描和未掃描的鏡像統計資料及列表,協助您快速定位到存在安全風險的鏡像。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
在鏡像安全掃描頁面上方,查看以下統計資訊。
存在高、中、低風險的鏡像數
單擊高風險鏡像、中風險鏡像或低風險鏡像下的數字,可跳轉到存在風險的容器資產頁面,查看該資產的詳細資料。
查看已掃描鏡像數和未掃描鏡像數
單擊已掃描鏡像數、未掃描鏡像下的數字,在已掃描鏡像列表或未掃描鏡像列表面板,查看相應鏡像列表。
重要未掃描鏡像包括未掃描過的鏡像和掃描失敗的鏡像。
增加容器鏡像安全掃描授權數
如果剩餘授權數不足,可以單擊增加授權,在購買頁面購買更多容器鏡像安全掃描數量。
查看鏡像掃描結果
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
在鏡像安全掃描頁面,單擊對應頁簽,查看鏡像掃描結果。
鏡像漏洞風險
在系統漏洞和鏡像應用漏洞頁簽中,可以分別查看掃描到的漏洞列表。您可以執行以下操作:
搜尋漏洞
您可以在漏洞列表上方的下拉式清單中選擇鏡像掃描、容器運行時鏡像掃描,選擇漏洞危險等級(高、中、低),或者搜尋執行個體ID、倉庫名稱、命名空間、摘要和漏洞名稱以定位到相關的漏洞。
說明倉庫名和漏洞名稱均支援模糊搜尋。
查看漏洞詳情
您可以單擊需要查看的漏洞的操作列的查看,在漏洞詳情頁面,根據需要進行以下操作:
查看阿里雲漏洞庫詳細資料
單擊漏洞編號可跳轉至阿里雲漏洞庫。您可在阿里雲漏洞庫頁面,查看該漏洞更加詳細的資訊,包括漏洞的描述、基本資料、修複建議等資訊。
查看鏡像漏洞的修複命令和影響說明
在受影響鏡像或容器列表,單擊詳情,查看該鏡像漏洞的修複命令和影響說明。
說明如果鏡像地址/版本右側存在PAI標籤,則表示該鏡像是通過人工智慧平台PAI進行部署的鏡像。
鏡像基準檢查
在鏡像基準檢查頁簽下,查看掃描出來的鏡像基準檢查結果清單。您可以執行以下操作:
搜尋基準檢查結果
您可以使用列表上方提供的搜尋組件,通過基準檢查結果的危險程度(高危、中危、低危)、基準的名稱、基準的分類搜尋滿足條件的基準檢查結果。
查看鏡像基準檢查結果
您可以在鏡像基準檢查結果清單中,查看單個或者所有鏡像基準檢查結果的基準名稱/分類、受影響鏡像、最新掃描時間、首次掃描時間以及基準的修複狀態等資訊。
查看鏡像基準檢查結果詳情
您可以在鏡像基準檢查結果清單中,單擊操作列的詳情,展開該基準檢查結果的詳情面板,您可以查看受該基準影響的鏡像資產和容器資產資訊,包括鏡像地址、鏡像版本、容器資訊、檢測時間、首次檢測時間及鏡像、容器上存在的不同等級基準風險數量。
單擊對應鏡像資產操作列的詳情,展開風險項面板,可查看該鏡像資產中存在的風險檢查項詳情。
單擊受影響鏡像或受影響的容器頁簽的下載
表徵圖,可以匯出對應受影響鏡像或容器的風險資訊列表。
鏡像惡意樣本
重要鏡像惡意樣本可能會通過將可讀可寫的記憶體屬性改為可讀可執行、修改網路代理程式設定等方式入侵您的伺服器系統,造成較大的危害,建議您及時處理鏡像惡意樣本。
在鏡像惡意樣本頁簽下,查看掃描出的鏡像惡意樣本列表。您可以執行以下操作:
搜尋鏡像惡意樣本
在鏡像惡意樣本列表左上方選擇惡意樣本的危險程度:緊急、可疑或提醒,根據執行個體ID、倉庫名稱、命名空間、概要、惡意樣本名稱等資訊,搜尋滿足條件的鏡像惡意樣本。
查看鏡像惡意樣本列表
在鏡像惡意樣本列表中,您可以查看所有鏡像惡意樣本的名稱、受影響的鏡像數、首次或最新掃描時間和處理狀態。
查看鏡像惡意樣本詳情
在需要查看的鏡像惡意樣本操作列單擊詳情,可查看該鏡像惡意樣本的詳情。
鏡像敏感檔案
在鏡像敏感檔案頁簽下,查看掃描出的鏡像敏感檔案清單。您可以執行以下操作:
搜尋鏡像敏感檔案
在鏡像敏感檔案清單左上方選擇敏感檔案的危險程度:高危、中危或低危,根據敏感檔案警示類型或者敏感資訊分類,搜尋滿足條件的鏡像敏感檔案。
查看鏡像敏感檔案清單
在鏡像敏感檔案清單中,您可以查看掃描出的所有敏感檔案警示類型、敏感資訊分類、總受影響鏡像數、未處理受影響鏡像數、首次掃描時間和最新掃描時間。
查看鏡像敏感檔案詳情
單擊需要查看的敏感檔案操作列詳情,可查看受該敏感檔案影響的鏡像列表。單擊受影響鏡像操作列的詳情,可查看檢測到敏感資訊的檔案清單。
鏡像構建指令風險
在鏡像構建指令風險頁簽下,查看掃描出的鏡像構建指令風險列表。您可以執行以下操作:
搜尋鏡像構建指令風險
在鏡像構建指令風險列表左上方選擇指令的危險程度:高危、中危或低危,根據風險類型或者風險分類,搜尋滿足條件的鏡像構建指令風險。
查看鏡像構建指令風險列表
在鏡像構建指令風險列表,您可以查看掃描出的所有指令風險類型、風險分類、總受影響鏡像數、未處理受影響鏡像數、首次掃描時間和最新掃描時間。
查看鏡像構建指令風險詳情
單擊需要查看的風險的操作列詳情,可查看受該構建指令風險影響的鏡像列表。單擊受影響鏡像操作列的詳情,可查看檢測到構建指令的風險列表。
可選:在鏡像安全掃描頁面,單擊鏡像漏洞風險、鏡像基準檢查或鏡像惡意樣本頁簽,單擊列表右上方的下載
表徵圖,可以一鍵匯出對應掃描結果清單。
修複鏡像掃描風險
您可根據查看的風險詳情和修複建議處理相關漏洞和風險。
鏡像漏洞風險:根據漏洞的修複命令和影響說明中提供的檢測結果,對鏡像中存在的漏洞進行排查和修複。
Security Center支援一鍵修複部分鏡像系統漏洞,當受影響鏡像有更新且包含可供修複的鏡像包時,可通過以下方式進行修複:
說明您可以在頁面的鏡像頁簽查看鏡像倉庫詳情。具體內容,請參見查看鏡像資訊。
手動修複:在系統漏洞列表,找到操作列高亮顯示修複的漏洞,單擊修複,在受影響鏡像列表,單擊目標鏡像對應操作列的修複,根據頁面提示完成漏洞修複。
開啟自動修複:設定修複周期、修複範圍等。具體內容,請參見配置鏡像修複。
鏡像基準檢查:根據基準檢查結果詳情,手動對鏡像中存在的基準風險項進行排查和修複。
鏡像惡意樣本:建議您根據鏡像惡意樣本的詳情(例如惡意檔案路徑等資訊),及時手動處理鏡像中存在的惡意樣本。
如果確認當前惡意樣本受影響鏡像無風險,您可在惡意樣本的詳情面板,找到受影響鏡像,單擊操作列的處理,將該惡意樣本的警示類型添加到白名單中,系統後續不會檢測白名單中鏡像對應的惡意樣本風險。
鏡像敏感檔案和鏡像構建指令風險:建議您根據業務情況評估風險,及時移除和修正可能存在安全風險的檔案內容和構建指令,重新製作鏡像。
您可在敏感檔案或構建指令的詳情面板,單擊操作列的處理,選擇處理方式:
加白名單:如果確認當前敏感檔案或鏡像構建指令無風險,您可以將該鏡像敏感檔案或鏡像構建指令風險的警示類型添加到白名單中,系統後續不會檢測白名單中鏡像對應的敏感檔案或鏡像構建指令風險。
忽略:忽略本次風險警示,當再次掃描鏡像並命中檢測策略時,會再次推送警示。
標記為誤判:如果確認是誤判,標記該風險為誤判後,Security Center會根據該反饋,最佳化掃描能力。
完成修複掃描出的鏡像風險後,您可在鏡像安全掃描頁面,單擊立即掃描,重新掃描鏡像,更新掃描結果。