Security Center:画像をスキャン

使用上の注意

• サポートされているイメージリポジトリ: Security Centerでは、Container Registry Enterprise Editionインスタンスで作成されたイメージリポジトリと、Security Centerに追加されたHarborおよびQuayイメージリポジトリをスキャンできます。 詳細については、「Container Registry Enterprise Editionインスタンスの作成」および「イメージリポジトリのセキュリティセンターへの追加」をご参照ください。

• スキャン範囲: デフォルトでは、Security Centerはすべてのチェック項目を使用して、追加されたすべてのイメージリポジトリをスキャンします。 特定のビジネス要件がある場合は、スキャンスコープを設定できます。 スキャンスコープの設定には、イメージリポジトリ、ベースラインチェック項目、脆弱性ホワイトリスト、機密ファイルタイプのホワイトリスト、リスクのあるファイルのホワイトリストが含まれます。 詳細については、「手順1: イメージスキャンスコープの設定」をご参照ください。

• スキャン方法: 即時および定期的な画像スキャンがサポートされています。 詳細については、「即時イメージスキャンを手動で開始する」および「定期イメージスキャンの設定」をご参照ください。

  システムは、使用するスキャン方法に関係なく、スキャンスコープ設定に基づいて画像をスキャンします。

• 画像スキャンのリソース消費量: Security Centerは、一意のダイジェスト値に基づいて画像を識別します。 イメージのダイジェスト値が変更されない場合、コンテナイメージスキャン機能のクォータは、最初のスキャンに対してのみ1だけ差し引かれます。 イメージのダイジェスト値が変更され、イメージが再スキャンされた場合、イメージのスキャンは、Container image scanパラメーターで指定されたクォータから再び差し引かれます。 クォータは、ダイジェスト値が変更されるたびに1ずつ減少します。

  イメージをスキャンする前に、コンテナーイメージスキャン機能に十分なクォータがあることを確認してください。 詳細については、「コンテナーイメージスキャンの有効化」をご参照ください。

• スキャン期間: イメージスキャンタスクの安定性を確保するため、Security Centerは各イメージスキャンタスクの最大期間を4時間に設定しています。 期間は変更できません。 4時間後、スキャンされていないイメージリポジトリがまだ存在するかどうかに関係なく、タスクは自動的に停止します。

  説明

  イメージスキャンタスクを実行する前に、必要なイメージリポジトリを指定することを推奨します。 Harborイメージリポジトリを指定した場合、[速度制限] パラメーターを設定してイメージスキャンの効率を向上させることができます。 詳細については、このトピックの「イメージリポジトリの管理」をご参照ください。

手順1: イメージスキャンスコープの設定

このセクションの設定は、即時および定期的な画像スキャンに有効になります。

1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。 左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > イメージセキュリティスキャン.

2. [イメージセキュリティ] ページの右上隅にある [スキャン設定] をクリックします。

3. スキャン設定パネルで、タブをクリックして画像スキャン範囲を設定します。

   イメージスキャンの設定

   [スキャン設定] パネルで、[スキャン設定] タブをクリックし、パラメーターを設定します。

   パラメーター	説明
   消費クォータ /購入クォータ	実行される画像スキャンの数と、許可される画像スキャンの総数。 許可されているイメージスキャンの数がほとんどなくなっている場合は、スケールアウトをクリックして、注文アップグレードページのContainer image Scanパラメーターの数量フィールドを設定できます。
   スキャンサイクル	画像をスキャンするサイクル。 このパラメーターは、定期的な画像スキャンでのみ有効です。
   スキャンスコープ	スキャンするイメージリポジトリのスコープ。 スコープを選択するには、次の手順を実行します。 スキャンスコープの右側にある [管理] をクリックします。 [イメージの管理] ダイアログボックスで、スキャンするイメージリポジトリを選択します。 デフォルトでは、このダイアログボックスのイメージリポジトリのリストの右上隅にあるスキャン用の新しいイメージリポジトリの自動追加がオンになっています。 これは、システムが定期的な画像スキャンのスキャンスコープに新しい画像リポジトリを自動的に追加することを示します。 アイコンをクリックすると、スイッチをオフにできます。 [OK] をクリックします。
   スキャン時間範囲	スキャンする画像の時間範囲。 重要 画像の最終更新時刻は、画像が指定された時間範囲条件を満たすかどうかを評価するために使用されます。 画像が更新されない場合、画像の作成時間は、画像が指定された時間範囲条件を満たすかどうかを評価するために使用される。 このパラメーターを過去7日間に設定した場合、Security Centerは過去7日間に更新された画像をスキャンします。 7日前またはそれ以前に更新された画像はスキャンされません。
   脆弱性保持期間	定期的なイメージスキャンによって検出されるイメージの脆弱性の保持期間。 指定された保存期間が終了すると、検出された脆弱性が自動的に削除されます。

   イメージリポジトリの管理

   [イメージリポジトリ] タブをクリックすると、スキャン可能なイメージリポジトリのリストが表示されます。 このリストには、Container Registry Enterprise Editionインスタンスで作成されたacrタイプのイメージリポジトリと、Security Centerに追加されたサードパーティのイメージリポジトリが表示されます。 サードパーティのイメージリポジトリは、harbor、quay、およびgitlabタイプです。

   説明

   • Security Centerは、現在のAlibaba Cloudアカウント内のContainer Registry Enterprise Editionインスタンスをイメージリポジトリリストに自動的に追加します。 Container Registry Enterprise Editionインスタンスをイメージリポジトリリストから削除することはできません。

   • [イメージセキュリティ] ページの右上隅にある [タスク管理] をクリックします。 次に、[Container asset synchronization] および [Synchronize Image Asset] タブで、アセット同期の進行状況と詳細を表示します。

   • スキャンするサードパーティのイメージリポジトリがイメージリポジトリタブに表示されない場合は、イメージリポジトリの追加をクリックしてイメージリポジトリの追加パネルに移動し、サードパーティのイメージリポジトリをSecurity Centerに追加します。 詳細については、「Security Centerへのイメージリポジトリの追加」をご参照ください。

   • スキャンしたくないサードパーティのイメージリポジトリがイメージリポジトリタブに表示されている場合は、イメージリポジトリの [操作] 列の [削除] をクリックします。 表示されるメッセージで、[OK] をクリックしてイメージリポジトリを削除します。

     説明

     [イメージリポジトリ] タブに表示されるデフォルトのイメージリポジトリは削除できません。 デフォルトのイメージリポジトリの型は、acrとdefaultAcrです。

   • 港タイプのイメージリポジトリをスキャンする場合は、イメージスキャンの速度を指定できます。 画像スキャンの速度を指定するには、イメージリポジトリの [操作] 列の [編集] をクリックします。 表示されるパネルで、[速度制限] パラメーターを設定して、画像のスキャン効率を向上させます。 速度制限パラメータは、1時間以内にスキャンできる画像の数を示します。 デフォルト値は10です。

     デフォルト値を保持し、港タイプのイメージリポジトリに200個のイメージが含まれている場合、イメージスキャンタスクの完了には20時間かかります。 ただし、各画像スキャンタスクの最大期間は4時間です。 つまり、イメージリポジトリ内のすべてのイメージがスキャンされるわけではありません。 制限速度パラメーターを200に設定した場合、スキャンタスクが完了するまでに1時間かかります。 ビジネス要件とネットワーク条件に基づいて制限速度パラメーターを設定できます。

   画像のベースラインチェックの設定

   イメージの脆弱性をスキャンするように設定を構成した後、イメージのベースラインチェックを構成することもできます。

   1. [スキャン設定] パネルで、[ベースライン構成管理] タブをクリックします。

   2. [設定範囲] の右側にある [管理] をクリックします。

   3. [ベースラインチェック範囲] パネルで、必要なチェック項目を選択し、[OK] をクリックします。

      重要

      ベースラインチェックスコープパネルのAccess Keyプレーンテキストストレージおよびパスワードリークチェック項目は、[ベースライン設定管理] タブのAccessKeyリーク検出およびパスワードリーク検出パラメーターに相当します。 [ベースラインチェックスコープ] パネルで [Access Key平文ストレージ] と [パスワードリーク] を選択した場合、[ベースライン設定管理] タブの [AccessKeyリーク検出] と [パスワードリーク検出] パラメーターのスイッチが自動的にオンになります。 手動操作は要求されない。 スイッチをオンまたはオフにして、ベースラインチェックを有効または無効にすることもできます。

   [即時スキャン] をクリックした後、または設定した定期的なスキャンタスクが開始されると、Security Centerはイメージをスキャンし、前述の設定に基づいてイメージのベースライン設定を確認します。

   すぐにコンテナー実行時イメージスキャン

   コンテナー実行時イメージスキャン機能を使用すると、コンテナー実行時のセキュリティリスクを特定できます。

   重要

   この機能は、手動スキャンタスクのみをサポートします。

   1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。 左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > イメージセキュリティスキャン.

   2. [イメージセキュリティ] ページの右上隅にある [スキャン設定] をクリックします。

   3. [スキャン設定] パネルで、[コンテナランタイムスキャンの設定] タブをクリックします。

   4. [スキャンスコープの設定] をクリックします。 表示されるダイアログボックスで、必要なクラスターとスキャンするアプリケーションの名前を選択し、[OK] をクリックします。

   5. [即時スキャン] をクリックします。

   [Immediate Scan] をクリックした後、[Image Security] ページの右上隅にある [タスク管理] をクリックします。 [タスク管理] パネルで、[Container Runtime Image Scan] タブをクリックしてスキャンの進行状況を表示します。 スキャンが完了したら、[イメージセキュリティ] ページの [イメージの脆弱性] タブで検出された脆弱性を確認できます。

   画像の機密ファイルスキャンの設定

   機密ファイルスキャン機能を使用すると、一般的な機密ファイルとカスタムイメージファイルの機密データを検出できます。 この機能は、機密情報を含むアプリケーション構成、証明書の一般的な秘密鍵、アプリケーション認証またはログオン用の資格情報、クラウドサーバープロバイダー用の資格情報など、さまざまな種類の一般的な機密ファイルをサポートします。 最も早い機会に検出された機密データを処理して、イメージランタイム環境のセキュリティを向上させることができます。

   重要

   静止画像スキャンのみがサポートされています。 ランタイムに敏感なファイルスキャンはサポートされていません。

   1. スキャンの設定 パネルで、機密ファイルのスキャン設定 タブをクリックします。

   2. [設定範囲] の右側にある [管理] をクリックします。

   3. 機密ファイルスキャン設定パネルで、必要なチェック項目を選択します。

      

   4. [機密ファイル検出の有効化] をオンまたはオフにします。

      [機密ファイル検出の有効化] をオンにすると、[即時スキャン] をクリックした後、または設定した定期的なスキャンタスクが開始されたときに、機密ファイルのスキャンタスクがすぐに開始されます。

   リスクのあるファイルのホワイトリストの設定

   システムでイメージファイル、イメージビルドコマンド、またはイメージサンプルをスキャンしたくない場合は、機密情報、イメージビルドのリスク、または悪意のあるイメージサンプルに対応するアラートの種類をホワイトリストに追加できます。 このように、システムはホワイトリストでアラートをトリガーするリスクを検出しません。

   説明

   • [リスクのあるファイルのホワイトリストの設定] タブには、ホワイトリストに追加されたアラートとイメージリポジトリの種類が表示され、イメージセキュリティページの [悪意のあるイメージサンプル] 、[機密イメージファイル] 、および [イメージビルドコマンドのリスク] タブに表示されます。 詳細については、「検出されたイメージリスクの処理」をご参照ください。

   • コンテナーイメージのスキャン機能を初めて使用するときは、リスクのあるファイルのホワイトリストを設定できません。

   1. スキャンの設定 パネルで、[リスクのあるファイルのホワイトリストの設定] タブをクリックします。

   2. リスクのあるファイルのホワイトリストを管理します。

      • ホワイトリストルールを変更する: [機密ファイル] 、[コンテナビルド] 、または [悪意のあるサンプル] タブで、アラートタイプを見つけ、[操作] 列の [編集] をクリックし、[すべてのイメージリポジトリ] または [現在のイメージリポジトリのみ] をホワイトリストスコープとして選択します。

      • ホワイトリストルールの削除: [機密ファイル] 、[コンテナビルド] 、または [悪意のあるサンプル] タブでアラートタイプを見つけ、[操作] 列の [削除] をクリックして、ホワイトリストからアラートタイプを削除します。 セキュリティセンターは、アラートをトリガーするリスクを検出できます。

   イメージリスク修正の設定

   Security Centerは、Container Registry Enterprise Editionインスタンスで作成されたイメージリポジトリのシステム脆弱性の自動修正をサポートしています。 自動修正を有効にし、脆弱性を修正する修正サイクルとイメージリポジトリを設定できます。

   1. スキャンの設定 パネルで、[イメージリスク修正設定] タブをクリックします。

   2. [固定設定] をオンまたはオフにして、自動固定を有効または無効にします。

   3. [設定の修正] をオンにすると、[期間の修正] 、[範囲の修正] 、および [時間範囲] パラメーターを設定できます。 Fixing Scopeパラメーターは、脆弱性を修正するContainer Registry Enterprise Editionインスタンスのイメージリポジトリを指定します。 time Rangeパラメーターで指定された期間内に更新されるイメージの脆弱性は修正されます。

      重要

      画像の最終更新時刻は、画像が指定された時間範囲条件を満たすかどうかを評価するために使用されます。 イメージが更新されない場合、イメージの作成時間が使用されます。 Time Rangeパラメーターを7日に設定した場合、Security Centerは過去7日以内に更新されたイメージの脆弱性を修正します。 Security Centerは、7日前またはそれ以前に更新されたイメージの脆弱性を修正しません。

      [即時スキャン] をクリックした後、または設定した定期的なスキャンタスクが開始されると、Security Centerは、指定した修正サイクルに基づいて、イメージ上のシステムの脆弱性を検出して修正します。

      [イメージセキュリティ] ページの右上隅にある [タスク管理] をクリックします。 [タスク管理] パネルで、[イメージリスクの修正] タブでシステムの脆弱性の修正の進行状況を確認します。

   脆弱性ホワイトリストの設定

   イメージの脆弱性をスキャンしたくない場合は、脆弱性ホワイトリストにその脆弱性を追加できます。 Security Centerは、脆弱性ホワイトリストの脆弱性を検出しません。

   1. スキャンの設定 パネルで、[脆弱性ホワイトリスト設定] タブをクリックします。

   2. 脆弱性ホワイトリストを管理します。

      • 脆弱性ホワイトリストルールを作成する: [ルールの作成] をクリックします。 [ルールの作成] パネルで、指定した脆弱性タイプに基づいてホワイトリストルールを設定します。

      • 脆弱性ホワイトリストルールの変更: 必要なホワイトリストルールを見つけて、[操作] 列の [編集] をクリックします。 編集パネルで、ルールスコープ、画像の選択、およびメモパラメーターを変更します。

      • 脆弱性ホワイトリストルールの削除: 必要なホワイトリストルールを見つけて、[操作] 列の [削除] をクリックします。 次に、セキュリティセンターは、ホワイトリストから削除された脆弱性を検出し、脆弱性のアラートを生成します。

4. [スキャン設定] パネルの右上隅にあるアイコンをクリックして、パネルを閉じます。

ステップ2: 画像スキャンを開始する

イメージスキャンスコープを設定すると、[スキャン設定] パネルの設定に基づいて、即時イメージスキャンと定期的なイメージスキャンが実行されます。

即時イメージスキャンを手動で開始する

すぐに画像をスキャンするには、次の操作を実行します。

1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

2. 左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > イメージセキュリティスキャン.

3. [イメージセキュリティ] ページで、[即時スキャン] をクリックします。

4. デフォルトでは、[クイックスキャン] ダイアログボックスですべての種類の画像が選択されています。 スキャンしたくない画像の種類を消去し、[OK] をクリックします。

   次のタイプがサポートされています。

   • acr: このタイプを選択すると、Security Centerは、Container Registryコンソールで作成したContainer Registry Enterprise Editionインスタンスにリスクが存在するかどうかをチェックします。

   • harbor、quay、gitlab: harborタイプとquayタイプを選択した場合、Security Centerは、Security Centerに追加されたサードパーティのイメージリポジトリにリスクが存在するかどうかを確認します。

   • container runtime: このタイプを選択した場合、Security Centerは設定に基づいて直ちにコンテナーランタイムイメージスキャンを実行します。

   これらの使用可能なタイプは、最初にSecurity Centerで設定する必要があります。 それ以外の場合、それらは表示されません。

   

   [スキャンスコープの設定] をクリックすることもできます。 [スキャン設定] パネルで画像スコープを設定し、上記の手順を繰り返して [クイックスキャン] ダイアログボックスに移動します。 詳細については、このトピックの「手順1: イメージスキャンスコープの設定」をご参照ください。

画像スキャン結果を生成するには約1分かかります。 1分後にページを更新し、画像セキュリティページのタブでスキャン結果を表示できます。

定期的なイメージスキャンの設定

既定では、Security Centerは、スキャン設定パネルで指定したスキャンサイクルに基づいて、イメージの脆弱性と悪意のあるサンプルについてコンテナーアセットを自動的にスキャンします。 イメージの脆弱性のスキャンサイクルを変更するには、次の操作を実行します。

1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。 左側のナビゲーションウィンドウで、保護設定 > コンテナ保護 > イメージセキュリティスキャン.

2. [イメージセキュリティ] ページの右上隅にある [スキャン設定] をクリックします。

3. [スキャン設定] パネルで、[スキャン設定] タブをクリックし、[スキャンサイクル] パラメーターを変更して、パネルを閉じます。

次に、指定したスキャンサイクルに基づいて、イメージの脆弱性がないかイメージをスキャンします。 詳細については、このトピックの「手順1: イメージスキャンスコープの設定」をご参照ください。

ステップ3: イメージスキャンタスクの進行状況とステータスの表示

1. [イメージセキュリティ] ページの右上隅にある [タスク管理] をクリックします。

2. [タスク管理] パネルで、[イメージスキャン] タブをクリックします。

3. タスクリストで、必要なタスクを見つけて進行状況とステータスを表示し、[操作] 列の [詳細] をクリックしてタスクの実行ログを表示します。

   ログには、タスクが失敗したイメージと失敗の原因に関する情報が記録されます。