全部产品
Search

搜索本产品

    云安全中心:镜像安全扫描介绍

    文档中心

    云安全中心:镜像安全扫描介绍

    更新时间:Jul 17, 2024

    镜像安全扫描功能为容器镜像提供了全面的安全检测和管理能力,可以帮助您发现镜像中存在的高危系统漏洞、应用漏洞、恶意样本、配置风险和敏感数据;针对镜像系统漏洞提供了漏洞修复方案,以便您及时解决安全隐患。通过使用该功能,您可以轻松管理和维护镜像的安全性,让系统和数据远离潜在的安全威胁。

    版本限制说明

    镜像安全扫描功能为云安全中心增值服务,需单独购买。仅支持高级版企业版旗舰版仅采购增值服务用户购买镜像安全扫描功能。

    支持的地域

    仅部署在下述地域的容器镜像服务支持使用镜像安全扫描功能。

    区域

    支持的地域

    中国

    • 华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)

    • 华南1(深圳)、华南2(河源)、华南3(广州)

    • 华东1(杭州)、华东2(上海)

    • 西南1(成都)

    • 中国香港

    • 华东2 金融云(上海)、华南1 金融云(深圳)、华北2 金融云(北京)、华北2 阿里政务云1(北京)

    全球(不含中国)

    • 日本(东京)、韩国(首尔)、新加坡、澳大利亚(悉尼)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷)、印度(孟买)关停中

    • 德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷)

    支持扫描的安全镜像特性

    检查类型

    说明

    处理建议

    镜像系统漏洞

    支持检测在镜像中存在的可能导致容器环境安全风险的漏洞,包括镜像中的操作系统漏洞、第三方软件漏洞等。

    建议您根据云安全中心提供的修复命令和影响说明及时处理镜像系统漏洞。

    镜像应用漏洞

    支持检测镜像中存在的应用程序相关的安全漏洞。这些漏洞可能导致未授权访问、代码注入、拒绝服务等安全问题。

    建议您根据云安全中心提供的修复命令和影响说明及时处理镜像应用漏洞。

    镜像基线检查

    用于评估容器镜像是否符合预定义的安全配置规范和最佳实践。

    建议您根据云安全中心提供的基线检查详细信息及时处理镜像基线风险。

    镜像恶意样本

    对容器镜像和容器运行时可能存在的恶意文件、恶意代码和恶意行为进行检测。

    建议您根据云安全中心提供的恶意文件路径等信息及时处理恶意文件样本。

    镜像敏感文件

    支持检测常见敏感文件,包括但不限于:

    • 包含敏感信息的应用配置

    • 通用的证书密钥

    • 应用认证或登录凭证

    • 云服务器厂商的相关凭证

    建议您根据云安全中心提供的加固建议评估风险,及时移除敏感信息,重新制作镜像。

    镜像构建指令风险

    检测镜像构建指令风险,包括但不限于:

    • 使用了弃用的MAINTAINER

    • 镜像未指定用户(USER)

    • 以Root用户运行应用(USER)

    • 使用了ADD

    • 在构建过程中使用敏感数据(ENV)

    • 使用NODE_TLS_REJECT_UNAUTHORIZED 环境变量禁用证书验证(ENV)

    • apt与Docker文件的RUN命令一起使用(RUN)

    建议您根据云安全中心提供的风险说明,及时处理镜像构建指令风险,重新制作镜像。

    重要

    镜像安全扫描检测出的风险中,当前部分镜像系统漏洞支持在线一键修复能力,其它风险项,可参考详情中的修复建议进行手动修复。具体内容,请参见修复镜像扫描风险

    支持的操作系统

    操作系统类型

    支持扫描的操作系统版本

    支持修复的操作系统版本

    Red Hat

    • Red Hat 5

    • Red Hat 6

    • Red Hat 7

    CentOS

    • CentOS 5

    • CentOS 6

    • CentOS 7

    • CentOS 7

    • CentOS 8

    Ubuntu

    • Ubuntu 12.04

    • Ubuntu 14.04

    • Ubuntu 16.04

    • Ubuntu 18.04

    • Ubuntu 18.10

    • Ubuntu 14

    • Ubuntu 16

    • Ubuntu 18

    Debian

    • Debian 6

    • Debian 7

    • Debian 8

    • Debian 9

    • Debian 10

    • Debian 9

    • Debian 10

    Alpine

    • Alpine 2.3

    • Alpine 2.4

    • Alpine 2.5

    • Alpine 2.6

    • Alpine 2.7

    • Alpine 3.1

    • Alpine 3.2

    • Alpine 3.3

    • Alpine 3.4

    • Alpine 3.5

    • Alpine 3.6

    • Alpine 3.7

    • Alpine 3.8

    • Alpine 3.9

    • Alpine 3.10

    • Alpine 3.11

    • Alpine 3.12

    Alpine 3.9

    Amazon Linux

    • Amazon Linux 2

    • Amazon Linux AMI

    Oracle Linux

    • Oracle Linux 5

    • Oracle Linux 6

    • Oracle Linux 7

    • Oracle Linux 8

    SUSE Linux Enterprise Server

    • SUSE Linux Enterprise Server 5

    • SUSE Linux Enterprise Server 6

    • SUSE Linux Enterprise Server 7

    • SUSE Linux Enterprise Server 8

    • SUSE Linux Enterprise Server 9

    • SUSE Linux Enterprise Server 10

    • SUSE Linux Enterprise Server 10 SP4

    • SUSE Linux Enterprise Server 11 SP3

    • SUSE Linux Enterprise Server 12 SP2

    • SUSE Linux Enterprise Server 12 SP5

    Fedora Linux

    • Fedora Linux 2X

    • Fedora Linux 3X

    openSUSE

    • openSUSE 10.0

    • openSUSE Leap 15.2

    • openSUSE Leap 42.3

    使用流程

    1. 开通服务:镜像安全扫描功能按照扫描镜像次数计费,需要开通服务并购买足够的容器镜像安全扫描数量。

    2. 配置和执行镜像安全扫描:根据实际业务需求,配置镜像扫描范围,选择手动立即扫描或配置扫描周期进行定期扫描。

    3. 查看扫描出的镜像风险及修复说明:查看镜像安全扫描结果,并根据修复说明处理相关风险。

    相关文档