Security Centerは、システムの脆弱性、アプリケーションの脆弱性、ベースラインリスク、およびイメージ内の悪意のあるイメージサンプルを検出し、検出されたリスクをカテゴリ別に表示するコンテナーイメージスキャン機能を提供します。 これにより、画像の全体的なセキュリティステータスを表示できます。 このトピックでは、イメージのセキュリティリスクを表示および処理する方法について説明します。
前提条件
コンテナ画像スキャンが実行される。 詳細については、「イメージのスキャン」をご参照ください。
背景情報
コンテナーイメージスキャン機能を使用して、イメージシステムの脆弱性、イメージアプリケーションの脆弱性、ベースラインリスク、悪意のあるイメージサンプル、機密イメージファイルを検出できます。 この機能を使用して、特定のイメージシステムの脆弱性のみを修正できます。 セキュリティセンターが提供する情報に基づいて、できるだけ早い機会にコンテナのリスクに対処することを推奨します。 この情報には、修正コマンド、影響の説明、および悪意のあるファイルへのパスが含まれます。
リスク統計の表示
Security Centerを使用すると、高、中、低リスクの画像の統計と、スキャンされた画像とスキャンされていない画像の統計とリストを表示できます。 このようにして、リスクのある画像をすばやく特定できます。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットが存在するリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
[イメージセキュリティ] ページで、次の統計情報を表示します。
高、中、低リスクの画像数
イメージセキュリティページの上部で、高リスクイメージ、中リスクイメージ、または低リスクイメージの下の数字をクリックして、コンテナページのイメージタブに移動します。 [画像] タブで、画像の詳細を表示します。
スキャンした画像とスキャンしていない画像の数
イメージセキュリティページの上部で、スキャンされたイメージまたはスキャンされていないイメージの下の数字をクリックします。 スキャンした画像またはスキャンしていない画像パネルで、スキャンした画像またはスキャンしていない画像を表示します。
重要未スキャン画像パネルの画像リストには、スキャンされていない画像とスキャンに失敗した画像が表示されます。
コンテナーイメージスキャンのクォータ
コンテナイメージスキャンの残りのクォータが不十分な場合は、クォータの増加をクリックして、購入ページで追加のクォータを購入します。
イメージスキャン結果の表示
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットが存在するリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
[イメージセキュリティ] ページで、次のタブをクリックしてイメージスキャン結果を表示します。
イメージの脆弱性
[システムの脆弱性] タブと [イメージアプリケーションの脆弱性] タブで、検出されたイメージシステムの脆弱性とイメージアプリケーションの脆弱性を表示します。 次の操作を実行できます。
脆弱性の検索
脆弱性リストの上部で、脆弱性の優先度、インスタンスID、リポジトリ名、名前空間、ダイジェスト、または脆弱性名で脆弱性をフィルタリングします。 脆弱性の優先度は、高、中、または低とすることができる。 [イメージスキャン] または [コンテナランタイムイメージスキャン] を選択して、脆弱性をフィルタリングすることもできます。
説明リポジトリまたは脆弱性名で脆弱性を検索できます。 ファジー検索がサポートされています。
脆弱性の詳細を表示
詳細を表示する脆弱性を見つけ、[操作] 列の [表示] をクリックします。 表示されるパネルで、ビジネス要件に基づいて次の操作を実行します。
Alibaba Cloud脆弱性ライブラリの詳細の表示
Common Vulnerabilities and Exposures (CVE) IDをクリックして、Alibaba Cloud脆弱性ライブラリに移動します。 このライブラリには、脆弱性の説明、基本情報、および脆弱性を修正するためのソリューションなどの脆弱性の詳細が表示されます。
修正コマンドと影響の説明を表示する
影響を受けるイメージまたはコンテナのリストで、管理するイメージまたはコンテナを見つけ、[操作] 列の [詳細] をクリックして、イメージの脆弱性の修正コマンドと影響の説明を表示します。
画像ベースラインチェック
[イメージベースラインチェック] タブで、イメージベースラインチェックの結果を表示します。 次の操作を実行できます。
画像ベースラインチェックの結果の検索
画像ベースラインチェックの結果の上にあるフィルターを使用して、重大度で結果を検索できます。 重症度には、高リスク、中リスク、および低リスクが含まれます。 検索ボックスに検索条件を入力して、ベースライン名またはカテゴリで結果を検索することもできます。
イメージベースラインチェックの結果を表示
イメージベースラインチェックの結果では、[ベースライン名 /カテゴリ] 、[影響を受けるイメージ] 、[最後のスキャン時間] 、[最初のスキャン時間] 、および [ステータス] の列に情報を表示できます。
イメージベースラインチェックの結果の詳細を表示
イメージベースラインチェックの結果で、管理するベースラインを見つけ、[操作] 列の [詳細] をクリックしてチェック結果の詳細を表示します。 ベースラインの影響を受けるイメージとコンテナに関する情報を表示できます。 情報には、画像の住所とバージョン、最初のチェック時間、および画像とコンテナで検出された各リスクレベルでのベースラインリスクの数が含まれます。
管理する画像を見つけて、[操作] 列の [詳細] をクリックします。 [リスク項目] パネルでは、画像のリスク項目の詳細を表示できます。
[影響を受ける画像] または [影響を受けるコンテナ] タブをクリックし、
アイコンをクリックして影響を受ける画像またはコンテナに関する情報をエクスポートします。
悪意のある画像サンプル
重要悪意のあるイメージサンプルは、メモリ属性を読み取り可能および書き込み可能から読み取り可能および実行可能に変更したり、ネットワークプロキシ設定を変更してサーバーに侵入する可能性があります。 悪意のあるイメージサンプルをできるだけ早く処理することを推奨します。
[悪意のあるイメージサンプル] タブで、検出された悪意のあるイメージサンプルを表示します。 次の操作を実行できます。
悪意のあるイメージサンプルの検索
悪意のあるイメージサンプルのリストの左上隅で、[緊急] 、[不審] 、または [通知] を選択して、悪意のあるイメージサンプルを照会します。 悪意のあるイメージサンプルを、インスタンスID、リポジトリ名、名前空間、ダイジェスト、または悪意のあるサンプル名でフィルタリングすることもできます。
悪意のあるイメージサンプルの表示
悪意のあるイメージサンプルのリストでは、サンプル名、影響を受けたイメージの数、最初のスキャン時間、最後のスキャン時間、および処理ステータスを表示できます。
悪意のあるイメージサンプルの詳細を表示
詳細を表示する悪意のあるイメージサンプルを見つけ、[操作] 列の [詳細] をクリックします。
敏感な画像ファイル
イメージの機密ファイル タブで、検出された機密イメージファイルを表示します。 次の操作を実行できます。
機密性の高い画像ファイルを検索する
機密イメージファイルの一覧の左上隅で、高リスク、中リスク、または低リスクを選択して、機密イメージファイルを照会します。 機密ファイルのアラートタイプまたは機密情報のタイプによって機密画像ファイルをフィルタリングすることもできます。
機密画像ファイルの表示
機密イメージファイルのリストで、機密ファイルのアラートの種類、機密情報の種類、影響を受けた画像と未処理の画像の数、最初のスキャン時間、および最後のスキャン時間を表示します。
機密画像ファイルの詳細を表示
機密イメージファイルの影響を受けるイメージを表示するには、機密イメージファイルを見つけて、[操作] 列の [詳細] をクリックします。 イメージに影響を与える機密イメージファイルを表示するには、影響を受けるイメージを見つけ、[操作] 列の [詳細] をクリックします。
Image Buildコマンドリスク
[イメージビルドコマンドのリスク] タブで、イメージビルドコマンドのリスクを表示します。 次の操作を実行できます。
イメージビルドコマンドのリスクの検索
イメージビルドコマンドのリスクの左上隅で、[高リスク] 、[中リスク] 、または [低リスク] を選択して、イメージビルドコマンドのリスクを照会します。 また、リスクタイプまたはカテゴリ別に、イメージビルドコマンドのリスクをフィルタリングすることもできます。
イメージビルドコマンドのリスクの表示
イメージビルドコマンドのリスクのリストで、リスクタイプ、リスクカテゴリ、影響を受けたイメージと未処理のイメージの数、最初のスキャン時間、および最後のスキャン時間を表示します。
イメージビルドコマンドのリスクの詳細を表示
イメージビルドコマンドのリスクの影響を受けるイメージを表示するには、リスクを見つけて [操作] 列の [詳細] をクリックします。 イメージに影響を与えるイメージビルドコマンドのリスクを表示するには、影響を受けるイメージを見つけて、[操作] 列の [詳細] をクリックします。
オプションです。 [イメージセキュリティ] ページで、[イメージの脆弱性] 、[イメージベースラインチェック] 、または [悪意のあるイメージサンプル] タブをクリックします。 タブのリストの右上隅にある
アイコンをクリックして、スキャン結果をエクスポートします。
検出された画像リスクの処理
リスクの詳細と処理の提案に基づいて、脆弱性とリスクを処理できます。
イメージの脆弱性: 修正コマンドと影響の説明に基づいて、イメージの脆弱性を修正します。
Security Centerを使用すると、数回クリックするだけで特定のイメージシステムの脆弱性を修正できます。 影響を受けるイメージの脆弱性を修正するために使用できるイメージの更新が利用可能な場合は、次の方法を使用してクイック修正を実行できます。
説明イメージリポジトリでイメージの更新が利用可能かどうかを確認するには、左側のナビゲーションウィンドウで を選択します。 [コンテナー] ページで、[画像] タブをクリックします。 詳細については、「コンテナーアセットの管理」トピックの「イメージ情報の表示」セクションをご参照ください。
脆弱性を手動で修正する: システムの脆弱性リストで、修正する脆弱性で、修正ボタンが暗くなっていない脆弱性を見つけ、[操作] 列の修正をクリックします。 [影響を受けるイメージ] タブをクリックして、脆弱性を修正するイメージを見つけ、[操作] 列の [修正] をクリックします。
自動修正を有効にする: 修正期間と修正範囲を指定します。 詳細については、「イメージのスキャン」トピックのイメージリスク修正の設定セクションをご参照ください。
画像ベースラインチェック: ベースラインチェック結果の詳細に基づいて、画像のベースラインリスクを手動で処理します。
悪意のあるイメージサンプル: 悪意のあるイメージファイルのパスなど、悪意のあるイメージサンプルの詳細に基づいて、できるだけ早い機会に悪意のあるイメージサンプルを手動で処理することを推奨します。
悪意のある画像サンプルの影響を受けた画像にリスクがないことを確認した場合、悪意のある画像サンプルの詳細パネルで影響を受けた画像を見つけ、[操作] 列の [ハンドル] をクリックして、画像に対して生成されたアラートの種類をホワイトリストに追加します。 ホワイトリストにアラートタイプを追加すると、システムはホワイトリストのアラートタイプに対応する悪意のあるイメージサンプルのリスクをチェックしなくなります。
機密性の高いイメージファイルとImage Buildコマンドのリスク: ビジネスの状況に基づいてリスクを評価し、セキュリティリスクを引き起こす可能性のあるファイルとイメージビルドコマンドを削除して修正し、イメージを再作成することを推奨します。
機密ファイルまたはビルドコマンドの詳細パネルで、[操作] 列の [ハンドル] をクリックし、次のいずれかの処理方法を使用します。
ホワイトリストに追加: 機密イメージファイルまたはイメージビルドコマンドにリスクがないことを確認した場合、機密イメージファイルまたはイメージビルドコマンドに対して生成されるアラートの種類をホワイトリストに追加できます。 ホワイトリストにアラートタイプを追加すると、ホワイトリストのアラートタイプに対応する機密イメージファイルまたはイメージビルドコマンドのリスクがチェックされなくなります。
無視: システムは、リスクに対して生成されたアラートを無視します。 システムが画像を再スキャンし、画像が検出ポリシーの条件を満たす場合、システムはアラートを生成します。
偽陽性としてマーク: リスクが偽陽性であることを確認した場合、Security Centerはフィードバックに基づいてスキャン機能を最適化します。
画像で検出されたリスクを処理した後、[画像のセキュリティ] ページで [即時スキャン] をクリックして画像を再スキャンし、スキャン結果を更新します。