安全掃描容器鏡像
若您期望識別且修復(fù)鏡像中所有已知的漏洞信息,可以通過容器鏡像安全掃描,對漏洞信息進(jìn)行評估和修復(fù)。
背景信息
在云原生交付鏈,ACR能在推送完成后自動進(jìn)行安全掃描。若您設(shè)置過安全阻斷策略,其會識別鏡像的安全風(fēng)險并阻斷高風(fēng)險的容器鏡像。通過安全策略的容器鏡像才會進(jìn)行交付鏈后續(xù)的分發(fā)和部署環(huán)節(jié)。交付鏈能保證容器應(yīng)用的安全交付和高效部署。您也可以集成安全掃描的相關(guān)API,實現(xiàn)自定義周期的鏡像安全掃描功能。如果未使用交付鏈,您可以在鏡像掃描頁面創(chuàng)建掃描規(guī)則實現(xiàn)鏡像推送自動觸發(fā)掃描。具體操作,請參見創(chuàng)建掃描規(guī)則。
安全掃描的時長主要取決于鏡像的大小。一般情況下掃描一個鏡像可以在三分鐘之內(nèi)完成。
使用限制
Trivy引擎:受掃描引擎限制,建議鏡像單層大小不要超過3GB,否則可能出現(xiàn)掃描失敗,若您需要掃描超過3GB的鏡像,建議使用云安全引擎掃描。
單鏡像掃描
在頂部菜單欄,選擇所需地域。
在左側(cè)導(dǎo)航欄,選擇實例列表。
在實例列表頁面單擊目標(biāo)企業(yè)版實例。
在企業(yè)版實例管理頁面選擇。
在鏡像倉庫頁面單擊目標(biāo)倉庫操作列的管理。
在鏡像倉庫詳情頁面左側(cè)導(dǎo)航欄中選擇鏡像版本,單擊目標(biāo)鏡像版本操作列的安全掃描。
在安全掃描頁面單擊立即掃描。
待掃描完成后,您可以在安全掃描頁面查看掃描結(jié)果,包括安全漏洞詳細(xì)信息。關(guān)于掃描結(jié)果的詳細(xì)介紹,請參見鏡像掃描結(jié)果。
批量鏡像掃描
批量鏡像掃描功能支持使用Trivy掃描引擎和云安全掃描引擎,區(qū)別如下:
Trivy掃描引擎:開源掃描引擎,支持檢測系統(tǒng)漏洞、應(yīng)用漏洞和漏洞庫每日更新,不支持一鍵修復(fù)系統(tǒng)漏洞功能。
系統(tǒng)漏洞:提供鏡像系統(tǒng)漏洞掃描,為您提供安全可信的鏡像。
應(yīng)用漏洞:提供鏡像應(yīng)用漏洞掃描功能,為您掃描容器相關(guān)中間件上的漏洞,幫助您找到漏洞位置,便于您根據(jù)漏洞位置修復(fù)應(yīng)用漏洞,創(chuàng)造安全的鏡像運(yùn)行環(huán)境。
漏洞庫每日更新:每日更新漏洞庫,確保您能夠獲取到最新的漏洞信息,并及時采取相應(yīng)的安全措施。
云安全掃描引擎:阿里云自研的掃描引擎,支持檢測系統(tǒng)漏洞、應(yīng)用漏洞、基線檢查和惡意樣本,支持一鍵修復(fù)系統(tǒng)漏洞功能。
系統(tǒng)漏洞:提供鏡像系統(tǒng)漏洞掃描及一鍵修復(fù)能力,為您提供安全可信的鏡像。
應(yīng)用漏洞:提供鏡像應(yīng)用漏洞掃描功能,為您掃描容器相關(guān)中間件上的漏洞,幫助您找到漏洞位置,便于您根據(jù)漏洞位置修復(fù)應(yīng)用漏洞,創(chuàng)造安全的鏡像運(yùn)行環(huán)境。
基線檢查:提供鏡像安全基線檢查功能,為您掃描容器資產(chǎn)中存在的基線安全風(fēng)險,幫助您找到存在的基線安全風(fēng)險位置,便于您根據(jù)位置修復(fù)基線安全風(fēng)險。
惡意樣本:提供容器惡意樣本的檢測能力,為您展示資產(chǎn)中存在的容器安全威脅,幫助您找到存在惡意樣本的位置,便于您根據(jù)位置修復(fù)惡意樣本,大幅降低您使用容器的安全風(fēng)險。
為企業(yè)版實例配置VPC網(wǎng)絡(luò)。具體操作,請參見配置專有網(wǎng)絡(luò)的訪問控制。
您需要為企業(yè)版實例配置VPC網(wǎng)絡(luò),批量掃描鏡像功能需要使用該VPC網(wǎng)絡(luò)掃描鏡像。
首次使用云安全掃描引擎需要訪問云安全后臺,首次訪問會提示您創(chuàng)建AliyunServiceRoleForSas系統(tǒng)角色。
說明如果您已為企業(yè)版實例配置VPC網(wǎng)絡(luò),無需執(zhí)行此步驟。
在頂部菜單欄,選擇所需地域。
在實例列表頁面單擊目標(biāo)企業(yè)版實例。
在企業(yè)版實例管理頁面選擇。
選擇掃描引擎。
設(shè)置掃描引擎為Trivy掃描引擎。
如果您之前未購買云安全掃描引擎,則鏡像掃描頁面右上角默認(rèn)使用Trivy掃描引擎。
如果您已購買云安全中心里的鏡像掃描服務(wù),Trivy掃描引擎就會切換成云安全掃描引擎,您需要在鏡像掃描頁面右上角單擊云安全掃描引擎右側(cè)的切換,單擊Trivy掃描引擎,在提示對話框單擊確定。
設(shè)置掃描引擎為云安全掃描引擎
如果您已購買云安全掃描引擎,則鏡像掃描頁面默認(rèn)使用云安全引擎,您無需進(jìn)行其他操作。如果您未購買云安全掃描引擎,您需要進(jìn)行以下操作:
授予云安全中心調(diào)用ACR的OpenAPI權(quán)限。
在云資源訪問授權(quán)頁面單擊同意授權(quán)。
在鏡像掃描頁面掃描信息區(qū)域單擊立即升級云安全引擎。
設(shè)置安全掃描為云安全掃描引擎,其他參數(shù)根據(jù)實際情況設(shè)置,單擊立即購買,然后完成支付。
返回鏡像掃描頁面,可以看到頁面右上角已默認(rèn)切換為云安全引擎。
說明購買云安全掃描引擎后,您可以在鏡像掃描頁面掃描信息區(qū)域單擊設(shè)置,在提示對話框選中同步,然后單擊確定。啟用同步功能后,容器鏡像服務(wù)將自動同步實例刪除、鏡像推送、鏡像刪除、鏡像倉庫刪除的消息至云安全中心。
創(chuàng)建掃描規(guī)則。
在鏡像掃描頁面單擊創(chuàng)建規(guī)則。
在掃描規(guī)則配置向?qū)е休斎?b data-tag="uicontrol" id="uicontrol-w3c-ffq-8z7" class="uicontrol">規(guī)則名稱,設(shè)置掃描范圍,然后單擊下一步。
支持按照命名空間和倉庫對鏡像進(jìn)行安全掃描:
按照命名空間掃描:選擇命名空間,輸入鏡像版本過濾的正則規(guī)則。
按照倉庫掃描:選擇命名空間、倉庫,輸入鏡像版本過濾的正則規(guī)則。
可選:在事件通知配置向?qū)е性O(shè)置通知方式。
支持釘釘、HTTP和HTTPS通知:
釘釘:設(shè)置通知方式為釘釘,然后輸入Webhook地址和加簽密鑰。
HTTP:設(shè)置通知方式為HTTP,然后輸入HTTP地址。
HTTPS:設(shè)置通知方式為HTTPS,然后輸入HTTPS地址。
鏡像掃描成功后,會發(fā)送通知給釘釘、HTTP或HTTPS。
單擊創(chuàng)建。
手動觸發(fā)鏡像掃描。
說明掃描規(guī)則創(chuàng)建完成后,支持手動和自動觸發(fā)鏡像掃描。自動觸發(fā)指只要鏡像推送或構(gòu)建成功,就會自動觸發(fā)鏡像掃描。
在鏡像掃描頁面單擊目標(biāo)規(guī)則右側(cè)操作列下的立即掃描。
在彈出的對話框單擊確定。
在任務(wù)列表區(qū)域看到掃描任務(wù)的掃描狀態(tài)顯示掃描完成,說明鏡像掃描成功。
查看掃描結(jié)果。
在鏡像掃描頁面任務(wù)列表區(qū)域單擊目標(biāo)任務(wù)右側(cè)操作列下的查看任務(wù)。
在任務(wù)詳情頁面單擊任務(wù)右側(cè)操作列下的查看詳情。
您可以在安全掃描頁面查看掃描結(jié)果,包括安全漏洞詳細(xì)信息。
說明如果您設(shè)置的掃描規(guī)則中包含多個鏡像,則任務(wù)詳情頁面會存在多條任務(wù),您可以查看任意一個任務(wù)的鏡像掃描結(jié)果。
鏡像掃描結(jié)果
查看Trivy引擎的掃描結(jié)果
在安全掃描頁面可以查看檢測到的系統(tǒng)漏洞、應(yīng)用漏洞,掃描結(jié)果按照高危、中危、低危、未評級四個漏洞等級匯總漏洞信息,默認(rèn)按照漏洞等級排列展示。
受到開源掃描引擎Trivy限制,僅部分系統(tǒng)漏洞或者應(yīng)用漏洞能識別到漏洞文件所在的位置。
查看云安全引擎的掃描結(jié)果
在安全掃描頁面可以查看檢測到的系統(tǒng)漏洞、應(yīng)用漏洞、基線檢查和惡意樣本,掃描結(jié)果按照高危、中危、低危、未評級四個漏洞等級匯總漏洞信息,默認(rèn)按照漏洞等級排列展示。
修復(fù)系統(tǒng)漏洞
如果您使用的是云安全掃描引擎,您還可以使用一鍵修復(fù)系統(tǒng)漏洞功能。具體操作如下:
在安全掃描頁面選中漏洞,單擊頁面底部的一鍵修復(fù),在修復(fù)對話框設(shè)置修復(fù)后的鏡像是否覆蓋原鏡像,然后單擊立即修復(fù)。
等待十分鐘后,在安全掃描頁面單擊左上角的
圖標(biāo),在鏡像版本頁面可以看到新增_fixd結(jié)尾的鏡像,說明鏡像修復(fù)成功。
修復(fù)后的鏡像以原鏡像的名稱加上_fixd結(jié)尾。
相關(guān)文檔
若您希望通過API接口調(diào)用鏡像版本掃描狀態(tài),請參見GetRepoTagScanStatus - 獲取鏡像版本掃描狀態(tài)。