コンテナイメージスキャン機能は、コンテナイメージを管理し、包括的な方法でセキュリティリスクを検出できます。 リスクには、リスクの高いシステムの脆弱性、アプリケーションの脆弱性、悪意のあるサンプル、構成のリスク、およびイメージ内の機密データが含まれます。 この機能は、検出されたイメージシステムの脆弱性の迅速な修正もサポートします。 この機能を使用して、関連するシステムとデータを保護するためにイメージセキュリティを管理および保証できます。
制限事項
コンテナイメージスキャンはSecurity Centerの付加価値機能であり、別途購入する必要があります。 [Advanced] 、[Enterprise] 、[Ultimate] 、[付加価値プラン] の各エディションのユーザーのみが、コンテナーイメージスキャンを購入できます。
サポートされるリージョン
次のリージョンのContainer Registryインスタンスのみが、コンテナーイメージスキャン機能をサポートしています。
地域 | サポート対象リージョン |
中国 |
|
中国国外 |
|
検出できるアイテム
項目 | 説明 | 提案 |
イメージシステムの脆弱性 | コンテナイメージスキャン機能は、イメージ内のオペレーティングシステムの脆弱性やサードパーティのソフトウェアの脆弱性など、コンテナ環境のセキュリティに影響を与える可能性のある脆弱性を検出できます。 | Security Centerが提供する修正コマンドと影響の説明に基づいて、イメージシステムの脆弱性を早期に修正することを推奨します。 |
イメージアプリケーションの脆弱性 | コンテナイメージスキャン機能は、イメージ内のアプリケーションの脆弱性を検出できます。 脆弱性は、不正アクセス、コード挿入、サービス拒否 (DoS) 攻撃などのセキュリティ問題を引き起こす可能性があります。 | Security Centerが提供する修正コマンドと影響の説明に基づいて、できるだけ早い機会にイメージアプリケーションの脆弱性を修正することを推奨します。 |
画像ベースラインリスク | コンテナイメージスキャン機能では、イメージがセキュリティ構成の仕様とベストプラクティスに準拠しているかどうかを確認できます。 | Security Centerが提供するベースラインチェックの詳細に基づいて、できるだけ早い機会にイメージベースラインリスクを処理することを推奨します。 |
悪意のある画像サンプル | コンテナイメージスキャン機能は、イメージ内およびコンテナランタイム中の悪意のあるファイル、悪意のあるコード、および悪意のある動作を検出できます。 | セキュリティセンターから提供される情報に基づいて、悪意のあるファイルサンプルをできるだけ早く処理することを推奨します。 情報は、悪意のあるファイルへのパスを含む。 |
敏感な画像ファイル | コンテナーイメージスキャン機能では、以下の項目を含む一般的な機密ファイルを検出できます。
| Security Centerが提供する提案に基づいてリスクを推定し、できるだけ早い機会に機密情報を削除してから、イメージを再作成することを推奨します。 |
Image buildコマンドのリスク | コンテナーイメージスキャン機能では、イメージビルドコマンドのリスクを検出できます。
| Security Centerが提供するリスクの説明に基づいて、イメージビルドコマンドのリスクを処理し、イメージを再作成することを推奨します。 |
コンテナイメージスキャン機能は、イメージシステムの脆弱性の迅速な修正をサポートします。 他のイメージリスクを処理するには、リスクの詳細に含まれる提案に基づいてリスクを手動で修正します。 詳細については、「検出されたイメージリスクの処理」をご参照ください。
サポートされているオペレーティングシステムとバージョン
オペレーティングシステム | リスク検出をサポートするオペレーティングシステムのバージョン | リスク修正をサポートするオペレーティングシステムのバージョン |
Red Hat |
| なし |
CentOS |
|
|
Ubuntu |
|
|
Debian |
|
|
アルパイン |
| アルパイン3.9 |
Amazon Linux |
| なし |
Oracle Linux |
| なし |
SUSE Linux Enterprise Server |
| なし |
Fedora Linux |
| なし |
openSUSE |
| なし |
使用プロセス
コンテナイメージスキャンの有効化: コンテナイメージスキャン機能を購入した場合、コンテナイメージスキャンで指定されたクォータに基づいて課金されます。 この機能を有効にし、コンテナーイメージスキャンを適切な値に設定する必要があります。
イメージのスキャン: ビジネス要件に基づいてイメージのスキャン範囲を設定します。 手動で即時イメージスキャンを開始したり、定期的なイメージスキャンを設定したりできます。
検出された画像リスクの表示と処理: 画像スキャン結果を表示し、修正指示に基づいてリスクを処理します。
関連ドキュメント
サーバーの脆弱性管理の詳細については、「脆弱性管理」をご参照ください。
Elastic Compute Service (ECS) イメージのスキャン結果を表示する方法の詳細については、「イメージスキャン結果の表示」をご参照ください。