すべてのプロダクト
Search
ドキュメントセンター

Security Center:概要

最終更新日:Nov 05, 2024

コンテナイメージスキャン機能は、コンテナイメージを管理し、包括的な方法でセキュリティリスクを検出できます。 リスクには、リスクの高いシステムの脆弱性、アプリケーションの脆弱性、悪意のあるサンプル、構成のリスク、およびイメージ内の機密データが含まれます。 この機能は、検出されたイメージシステムの脆弱性の迅速な修正もサポートします。 この機能を使用して、関連するシステムとデータを保護するためにイメージセキュリティを管理および保証できます。

制限事項

コンテナイメージスキャンはSecurity Centerの付加価値機能であり、別途購入する必要があります。 [Advanced][Enterprise][Ultimate][付加価値プラン] の各エディションのユーザーのみが、コンテナーイメージスキャンを購入できます。

サポートされるリージョン

次のリージョンのContainer Registryインスタンスのみが、コンテナーイメージスキャン機能をサポートしています。

地域

サポート対象リージョン

中国

  • 中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ)

  • 中国 (深セン) 、中国 (河源) 、中国 (広州)

  • 中国 (杭州) 、中国 (上海)

  • 中国 (成都)

  • 中国 (香港)

  • China East 2 Finance、China South 1 Finance、China North 2 Finance、China North 2 Ali Gov 1

中国国外

  • 日本 (東京) 、韓国 (ソウル) 、シンガポール、オーストラリア (シドニー) サービス終了、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) 、

  • ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー)

検出できるアイテム

項目

説明

提案

イメージシステムの脆弱性

コンテナイメージスキャン機能は、イメージ内のオペレーティングシステムの脆弱性やサードパーティのソフトウェアの脆弱性など、コンテナ環境のセキュリティに影響を与える可能性のある脆弱性を検出できます。

Security Centerが提供する修正コマンドと影響の説明に基づいて、イメージシステムの脆弱性を早期に修正することを推奨します。

イメージアプリケーションの脆弱性

コンテナイメージスキャン機能は、イメージ内のアプリケーションの脆弱性を検出できます。 脆弱性は、不正アクセス、コード挿入、サービス拒否 (DoS) 攻撃などのセキュリティ問題を引き起こす可能性があります。

Security Centerが提供する修正コマンドと影響の説明に基づいて、できるだけ早い機会にイメージアプリケーションの脆弱性を修正することを推奨します。

画像ベースラインリスク

コンテナイメージスキャン機能では、イメージがセキュリティ構成の仕様とベストプラクティスに準拠しているかどうかを確認できます。

Security Centerが提供するベースラインチェックの詳細に基づいて、できるだけ早い機会にイメージベースラインリスクを処理することを推奨します。

悪意のある画像サンプル

コンテナイメージスキャン機能は、イメージ内およびコンテナランタイム中の悪意のあるファイル、悪意のあるコード、および悪意のある動作を検出できます。

セキュリティセンターから提供される情報に基づいて、悪意のあるファイルサンプルをできるだけ早く処理することを推奨します。 情報は、悪意のあるファイルへのパスを含む。

敏感な画像ファイル

コンテナーイメージスキャン機能では、以下の項目を含む一般的な機密ファイルを検出できます。

  • 機密情報を含むアプリケーション構成

  • 一般証明書キー

  • アプリケーションIDまたはログオン資格情報

  • クラウドサーバープロバイダーの資格情報

Security Centerが提供する提案に基づいてリスクを推定し、できるだけ早い機会に機密情報を削除してから、イメージを再作成することを推奨します。

Image buildコマンドのリスク

コンテナーイメージスキャン機能では、イメージビルドコマンドのリスクを検出できます。

  • 非推奨のMAINTAINERコマンド

  • Userコマンドを使用してイメージを作成するときに指定されていないユーザー

  • rootユーザーを使用したアプリケーションの実行

  • 追加

  • イメージを作成するときにENV変数に機密データを含める

  • NODE_TLS_REJECT_UNAUTHORIZED環境変数の設定による証明書検証の無効化

  • DockerファイルのRUNコマンドで使用されるapt

Security Centerが提供するリスクの説明に基づいて、イメージビルドコマンドのリスクを処理し、イメージを再作成することを推奨します。

重要

コンテナイメージスキャン機能は、イメージシステムの脆弱性の迅速な修正をサポートします。 他のイメージリスクを処理するには、リスクの詳細に含まれる提案に基づいてリスクを手動で修正します。 詳細については、「検出されたイメージリスクの処理」をご参照ください。

サポートされているオペレーティングシステムとバージョン

オペレーティングシステム

リスク検出をサポートするオペレーティングシステムのバージョン

リスク修正をサポートするオペレーティングシステムのバージョン

Red Hat

  • レッドハット5

  • レッドハット6

  • レッドハット7

なし

CentOS

  • CentOS 5

  • CentOS 6

  • CentOS 7

  • CentOS 7

  • CentOS 8

Ubuntu

  • Ubuntu 12.04

  • Ubuntu 14.04

  • Ubuntu 16.04

  • Ubuntu 18.04

  • Ubuntu 18.10

  • Ubuntu 14

  • Ubuntu 16

  • Ubuntu 18

Debian

  • デビアン6

  • デビアン7

  • Debian 8

  • Debian 9

  • デビアン10

  • Debian 9

  • デビアン10

アルパイン

  • アルパイン2.3

  • アルパイン2.4

  • アルパイン2.5

  • アルパイン2.6

  • アルパイン2.7

  • アルパイン3.1

  • アルパイン3.2

  • アルパイン3.3

  • アルパイン3.4

  • アルパイン3.5

  • アルパイン3.6

  • アルパイン3.7

  • アルパイン3.8

  • アルパイン3.9

  • アルパイン3.10

  • アルパイン3.11

  • アルパイン3.12

アルパイン3.9

Amazon Linux

  • Amazon Linux 2

  • Amazon Linux AMI

なし

Oracle Linux

  • Oracle Linux 5

  • Oracle Linux 6

  • Oracle Linux 7

  • Oracle Linux 8

なし

SUSE Linux Enterprise Server

  • SUSE Linuxエンタープライズサーバー5

  • SUSE Linuxエンタープライズサーバー6

  • SUSE Linuxエンタープライズサーバー7

  • SUSE Linuxエンタープライズサーバー8

  • SUSE Linuxエンタープライズサーバー9

  • SUSE Linuxエンタープライズサーバー10

  • SUSE Linuxエンタープライズサーバー10 SP4

  • SUSE Linuxエンタープライズサーバー11 SP3

  • SUSE Linuxエンタープライズサーバー12 SP2

  • SUSE Linuxエンタープライズサーバー12 SP5

なし

Fedora Linux

  • Fedora Linux 2X

  • Fedora Linux 3X

なし

openSUSE

  • openSUSE 10.0

  • openSUSEリープ15.2

  • openSUSEリープ42.3

なし

使用プロセス

  1. コンテナイメージスキャンの有効化: コンテナイメージスキャン機能を購入した場合、コンテナイメージスキャンで指定されたクォータに基づいて課金されます。 この機能を有効にし、コンテナーイメージスキャンを適切な値に設定する必要があります。

  2. イメージのスキャン: ビジネス要件に基づいてイメージのスキャン範囲を設定します。 手動で即時イメージスキャンを開始したり、定期的なイメージスキャンを設定したりできます。

  3. 検出された画像リスクの表示と処理: 画像スキャン結果を表示し、修正指示に基づいてリスクを処理します。

関連ドキュメント

  • サーバーの脆弱性管理の詳細については、「脆弱性管理」をご参照ください。

  • Elastic Compute Service (ECS) イメージのスキャン結果を表示する方法の詳細については、「イメージスキャン結果の表示」をご参照ください。