云安全中心提供的鏡像安全掃描功能,可以檢測您的鏡像資產中存在的系統漏洞、應用漏洞、基線風險和惡意樣本,并進行分類展示,幫助您全面了解您的鏡像資產中存在的安全風險。本文介紹如何查看您鏡像資產存在的安全風險及對應修復說明。
前提條件
已執行鏡像安全掃描。具體操作,請參見配置和執行鏡像安全掃描。
背景信息
鏡像安全掃描功能支持檢測鏡像系統漏洞、鏡像應用漏洞、基線風險、鏡像惡意樣本和鏡像敏感文件,修復部分鏡像系統漏洞,其余類型均不支持修復。建議您根據云安全中心提供的修復命令、影響說明或惡意文件路徑等信息,及時處理容器中存在的安全風險。
查看風險統計信息
云安全中心支持查看存在高、中、低風險的鏡像統計數據,及已掃描和未掃描的鏡像統計數據及列表,幫助您快速定位到存在安全風險的鏡像。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在鏡像安全掃描頁面上方,查看以下統計信息。
存在高、中、低風險的鏡像數
單擊高風險鏡像、中風險鏡像或低風險鏡像下的數字,可跳轉到存在風險的容器資產頁面,查看該資產的詳細信息。
查看已掃描鏡像數和未掃描鏡像數
單擊已掃描鏡像數、未掃描鏡像下的數字,在已掃描鏡像列表或未掃描鏡像列表面板,查看相應鏡像列表。
重要未掃描鏡像包括未掃描過的鏡像和掃描失敗的鏡像。
增加容器鏡像安全掃描授權數
如果剩余授權數不足,可以單擊增加授權,在購買頁面購買更多容器鏡像安全掃描數量。
查看鏡像掃描結果
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
在鏡像安全掃描頁面,單擊對應頁簽,查看鏡像掃描結果。
鏡像漏洞風險
在系統漏洞和鏡像應用漏洞頁簽中,可以分別查看掃描到的漏洞列表。您可以執行以下操作:
搜索漏洞
您可以在漏洞列表上方的下拉列表中選擇鏡像掃描、容器運行時鏡像掃描,選擇漏洞危險等級(高、中、低),或者搜索實例ID、倉庫名稱、命名空間、摘要和漏洞名稱以定位到相關的漏洞。
說明倉庫名和漏洞名稱均支持模糊搜索。
查看漏洞詳情
您可以單擊需要查看的漏洞的操作列的查看,在漏洞詳情頁面,根據需要進行以下操作:
查看阿里云漏洞庫詳細信息
單擊漏洞編號可跳轉至阿里云漏洞庫。您可在阿里云漏洞庫頁面,查看該漏洞更加詳細的信息,包括漏洞的描述、基本信息、修復建議等信息。
查看鏡像漏洞的修復命令和影響說明
在受影響鏡像或容器列表,單擊詳情,查看該鏡像漏洞的修復命令和影響說明。
鏡像基線檢查
在鏡像基線檢查頁簽下,查看掃描出來的鏡像基線檢查結果列表。您可以執行以下操作:
搜索基線檢查結果
您可以使用列表上方提供的搜索組件,通過基線檢查結果的危險程度(高危、中危、低危)、基線的名稱、基線的分類搜索滿足條件的基線檢查結果。
查看鏡像基線檢查結果
您可以在鏡像基線檢查結果列表中,查看單個或者所有鏡像基線檢查結果的基線名稱/分類、受影響鏡像、最新掃描時間、首次掃描時間以及基線的修復狀態等信息。
查看鏡像基線檢查結果詳情
您可以在鏡像基線檢查結果列表中,單擊操作列的詳情,展開該基線檢查結果的詳情面板,您可以查看受該基線影響的鏡像資產和容器資產信息,包括鏡像地址、鏡像版本、容器信息、檢測時間、首次檢測時間及鏡像、容器上存在的不同等級基線風險數量。
單擊對應鏡像資產操作列的詳情,展開風險項面板,可查看該鏡像資產中存在的風險檢查項詳情。
單擊受影響鏡像或受影響的容器頁簽的下載
圖標,可以導出對應受影響鏡像或容器的風險信息列表。
鏡像惡意樣本
重要鏡像惡意樣本可能會通過將可讀可寫的內存屬性改為可讀可執行、修改網絡代理設置等方式入侵您的服務器系統,造成較大的危害,建議您及時處理鏡像惡意樣本。
在鏡像惡意樣本頁簽下,查看掃描出的鏡像惡意樣本列表。您可以執行以下操作:
搜索鏡像惡意樣本
在鏡像惡意樣本列表左上角選擇惡意樣本的危險程度:緊急、可疑或提醒,根據實例ID、倉庫名稱、命名空間、概要、惡意樣本名稱等信息,搜索滿足條件的鏡像惡意樣本。
查看鏡像惡意樣本列表
在鏡像惡意樣本列表中,您可以查看所有鏡像惡意樣本的名稱、受影響的鏡像數、首次或最新掃描時間和處理狀態。
查看鏡像惡意樣本詳情
在需要查看的鏡像惡意樣本操作列單擊詳情,可查看該鏡像惡意樣本的詳情。
鏡像敏感文件
在鏡像敏感文件頁簽下,查看掃描出的鏡像敏感文件列表。您可以執行以下操作:
搜索鏡像敏感文件
在鏡像敏感文件列表左上角選擇敏感文件的危險程度:高危、中危或低危,根據敏感文件告警類型或者敏感信息分類,搜索滿足條件的鏡像敏感文件。
查看鏡像敏感文件列表
在鏡像敏感文件列表中,您可以查看掃描出的所有敏感文件告警類型、敏感信息分類、總受影響鏡像數、未處理受影響鏡像數、首次掃描時間和最新掃描時間。
查看鏡像敏感文件詳情
單擊需要查看的敏感文件操作列詳情,可查看受該敏感文件影響的鏡像列表。單擊受影響鏡像操作列的詳情,可查看檢測到敏感信息的文件列表。
鏡像構建指令風險
在鏡像構建指令風險頁簽下,查看掃描出的鏡像構建指令風險列表。您可以執行以下操作:
搜索鏡像構建指令風險
在鏡像構建指令風險列表左上角選擇指令的危險程度:高危、中危或低危,根據風險類型或者風險分類,搜索滿足條件的鏡像構建指令風險。
查看鏡像構建指令風險列表
在鏡像構建指令風險列表,您可以查看掃描出的所有指令風險類型、風險分類、總受影響鏡像數、未處理受影響鏡像數、首次掃描時間和最新掃描時間。
查看鏡像構建指令風險詳情
單擊需要查看的風險的操作列詳情,可查看受該構建指令風險影響的鏡像列表。單擊受影響鏡像操作列的詳情,可查看檢測到構建指令的風險列表。
可選:在鏡像安全掃描頁面,單擊鏡像漏洞風險、鏡像基線檢查或鏡像惡意樣本頁簽,單擊列表右上方的下載
圖標,可以一鍵導出對應掃描結果列表。
修復鏡像掃描風險
您可根據查看的風險詳情和修復建議處理相關漏洞和風險。
鏡像漏洞風險:根據漏洞的修復命令和影響說明中提供的檢測結果,對鏡像中存在的漏洞進行排查和修復。
云安全中心支持一鍵修復部分鏡像系統漏洞,當受影響鏡像有更新且包含可供修復的鏡像包時,可通過以下方式進行修復:
說明您可以在頁面的鏡像頁簽查看鏡像倉庫詳情。具體內容,請參見查看鏡像信息。
手動修復:在系統漏洞列表,找到操作列高亮顯示修復的漏洞,單擊修復,在受影響鏡像列表,單擊目標鏡像對應操作列的修復,根據頁面提示完成漏洞修復。
開啟自動修復:設置修復周期、修復范圍等。具體內容,請參見配置鏡像修復。
鏡像基線檢查:根據基線檢查結果詳情,手動對鏡像中存在的基線風險項進行排查和修復。
鏡像惡意樣本:建議您根據鏡像惡意樣本的詳情(例如惡意文件路徑等信息),及時手動處理鏡像中存在的惡意樣本。
如果確認當前惡意樣本受影響鏡像無風險,您可在惡意樣本的詳情面板,找到受影響鏡像,單擊操作列的處理,將該惡意樣本的告警類型添加到白名單中,系統后續不會檢測白名單中鏡像對應的惡意樣本風險。
鏡像敏感文件和鏡像構建指令風險:建議您根據業務情況評估風險,及時移除和修正可能存在安全風險的文件內容和構建指令,重新制作鏡像。
您可在敏感文件或構建指令的詳情面板,單擊操作列的處理,選擇處理方式:
加白名單:如果確認當前敏感文件或鏡像構建指令無風險,您可以將該鏡像敏感文件或鏡像構建指令風險的告警類型添加到白名單中,系統后續不會檢測白名單中鏡像對應的敏感文件或鏡像構建指令風險。
忽略:忽略本次風險告警,當再次掃描鏡像并命中檢測策略時,會再次推送告警。
標記為誤報:如果確認是誤報,標記該風險為誤報后,云安全中心會根據該反饋,優化掃描能力。
完成修復掃描出的鏡像風險后,您可在鏡像安全掃描頁面,單擊立即掃描,重新掃描鏡像,更新掃描結果。