全部產品
Search

搜尋本產品

    Container Registry:安全掃描容器鏡像

    文件中心

    Container Registry:安全掃描容器鏡像

    更新時間:Jun 30, 2024

    若您期望識別且修複鏡像中所有已知的漏洞資訊,可以通過容器鏡像安全掃描,對漏洞資訊進行評估和修複。

    背景資訊

    在雲原生交付鏈,ACR能在推送完成後自動進行安全掃描。若您設定過安全阻斷策略,其會識別鏡像的安全風險並阻斷高風險的容器鏡像。通過安全性原則的容器鏡像才會進行交付鏈後續的分發和部署環節。交付鏈能保證容器應用的安全交付和高效部署。您也可以整合安全掃描的相關API,實現自訂周期的鏡像安全掃描功能。如果未使用交付鏈,您可以在鏡像掃描頁面建立掃描規則實現鏡像推送自動觸發掃描。具體操作,請參見建立掃描規則

    安全掃描的時間長度主要取決於鏡像的大小。一般情況下掃描一個鏡像可以在三分鐘之內完成。

    使用限制

    Trivy引擎:受掃描引擎限制,建議鏡像單層大小不要超過3GB,否則可能出現掃描失敗,若您需要掃描超過3GB的鏡像,建議使用雲安全引擎掃描。

    單鏡像掃描

    1. 登入Container Registry控制台

    2. 在頂部功能表列,選擇所需地區。

    3. 在左側導覽列,選擇執行個體列表

    4. 執行個體列表頁面單擊目標企業版執行個體。

    5. 在企業版執行個體管理頁面選擇倉庫管理 > 鏡像倉庫

    6. 鏡像倉庫頁面單擊目標倉庫操作列的管理

    7. 在鏡像倉庫詳情頁面左側導覽列中選擇鏡像版本,單擊目標鏡像版本操作列的安全掃描

    8. 安全掃描頁面單擊立即掃描

      待掃描完成後,您可以在安全掃描頁面查看掃描結果,包括安全性漏洞詳細資料。關於掃描結果的詳細介紹,請參見鏡像掃描結果

    批量鏡像掃描

    批量鏡像掃描功能支援使用Trivy掃描引擎和雲安全掃描引擎,區別如下:

    • Trivy掃描引擎:開源掃描引擎,支援檢測系統漏洞和應用漏洞,不支援一鍵修複系統漏洞功能。

    • 雲安全掃描引擎:阿里雲自研的掃描引擎,支援檢測系統漏洞、應用漏洞、基準檢查和惡意樣本,支援一鍵修複系統漏洞功能。

      • 系統漏洞:提供鏡像系統漏洞掃描及一鍵修複能力,為您提供安全可信的鏡像。

      • 應用漏洞:提供鏡像應用漏洞掃描功能,為您掃描容器相關中介軟體上的漏洞,協助您找到漏洞位置,便於您根據漏洞位置修複應用漏洞,創造安全的鏡像運行環境。

      • 基準檢查:提供鏡像安全基準檢查功能,為您掃描容器資產中存在的基準安全風險,協助您找到存在的基準安全風險位置,便於您根據位置修複基準安全風險。

      • 惡意樣本:提供容器惡意樣本的檢測能力,為您展示資產中存在的容器安全威脅,協助您找到存在惡意樣本的位置,便於您根據位置修複惡意樣本,大幅降低您使用容器的安全風險。

    1. 為企業版執行個體配置VPC網路。具體操作,請參見配置專用網路的存取控制

      您需要為企業版執行個體配置VPC網路,批量掃描鏡像功能需要使用該VPC網路掃描鏡像。

      首次使用雲安全掃描引擎需要訪問雲安全後台,首次訪問會提示您建立AliyunServiceRoleForSas系統角色。

      說明

      如果您已為企業版執行個體配置VPC網路,無需執行此步驟。

    2. 登入Container Registry控制台

    3. 在頂部功能表列,選擇所需地區。

    4. 執行個體列表頁面單擊目標企業版執行個體。

    5. 在企業版執行個體管理頁面選擇安全可信 > 鏡像掃描

    6. 選擇掃描引擎。

      • 設定掃描引擎為Trivy掃描引擎

        • 如果您之前未購買雲安全掃描引擎,則鏡像掃描頁面右上方預設使用Trivy掃描引擎。

        • 如果您已購買Security Center裡的鏡像掃描服務,Trivy掃描引擎就會切換成雲安全掃描引擎,您需要在鏡像掃描頁面右上方單擊雲安全掃描引擎右側的切換,單擊Trivy掃描引擎,在提示對話方塊單擊確定

      • 設定掃描引擎為雲安全掃描引擎

        如果您已購買雲安全掃描引擎,則鏡像掃描頁面預設使用雲安全引擎,您無需進行其他動作。如果您未購買雲安全掃描引擎,您需要進行以下操作:

        1. 授予Security Center調用ACR的OpenAPI許可權。

          1. 單擊雲資源訪問授權

          2. 雲資源訪問授權頁面單擊同意授權

        2. 鏡像掃描頁面掃描資訊地區單擊立即升級雲安全引擎

        3. 設定安全掃描雲安全掃描引擎,選中Container Registry協議,其他參數根據實際情況設定,單擊立即購買,然後完成支付。

          返回鏡像掃描頁面,可以看到頁面右上方已預設切換為雲安全引擎。

          說明

          購買雲安全掃描引擎後,您可以在鏡像掃描頁面掃描資訊地區單擊設定,在提示對話方塊選中同步,然後單擊確定。啟用同步功能後,Container Registry將自動同步執行個體刪除、鏡像推送、鏡像刪除、鏡像倉庫刪除的訊息至Security Center。

    7. 建立掃描規則。

      1. 鏡像掃描頁面單擊建立規則

      2. 掃描規則設定精靈中輸入規則名稱,設定掃描範圍,然後單擊下一步

        支援按照命名空間和倉庫對鏡像進行安全掃描:

        • 按照命名空間掃描:選擇命名空間,輸入鏡像版本過濾的正則規則。

        • 按照倉庫掃描:選擇命名空間倉庫,輸入鏡像版本過濾的正則規則。

      3. 可選:事件通知設定精靈中設定通知方式。

        支援DingTalk、HTTP和HTTPS通知:

        • DingTalk:設定通知方式DingTalk,然後輸入Webhook地址和加簽密鑰。

        • HTTP:設定通知方式HTTP,然後輸入HTTP地址。

        • HTTPS:設定通知方式HTTPS,然後輸入HTTPS地址。

        鏡像掃描成功後,會發送通知給DingTalk、HTTP或HTTPS。

      4. 單擊建立

    8. 手動觸發鏡像掃描。

      說明

      掃描規則建立完成後,支援手動和自動觸發鏡像掃描。自動觸發指只要鏡像推送或構建成功,就會自動觸發鏡像掃描。

      1. 鏡像掃描頁面單擊目標規則右側操作列下的立即掃描

      2. 在彈出的對話方塊單擊確定

        工作清單地區看到掃描任務的掃描狀態顯示掃描完成,說明鏡像掃描成功。

    9. 查看掃描結果。

      1. 鏡像掃描頁面工作清單地區單擊目標任務右側操作列下的查看任務

      2. 任務詳情頁面單擊任務右側操作列下的查看詳情

        您可以在安全掃描頁面查看掃描結果,包括安全性漏洞詳細資料。

        說明

        如果您設定的掃描規則中包含多個鏡像,則任務詳情頁面會存在多條任務,您可以查看任意一個任務的鏡像掃描結果。

    鏡像掃描結果

    查看Trivy引擎的掃描結果

    安全掃描頁面可以查看檢測到的系統漏洞、應用漏洞,掃描結果按照高危中危低危未評級四個漏洞等級匯總漏洞資訊,預設按照漏洞等級排列展示。單個掃描

    說明

    受到開源掃描引擎Trivy限制,僅部分系統漏洞或者應用漏洞能識別到漏洞檔案所在的位置。

    查看雲安全引擎的掃描結果

    安全掃描頁面可以查看檢測到的系統漏洞應用漏洞基準檢查惡意樣本,掃描結果按照高危中危低危未評級四個漏洞等級匯總漏洞資訊,預設按照漏洞等級排列展示。

    雲安全掃描結果

    修複系統漏洞

    如果您使用的是雲安全掃描引擎,您還可以使用一鍵修複系統漏洞功能。具體操作如下:

    安全掃描頁面選中漏洞,單擊頁面底部的一鍵修複,在修複對話方塊設定修複後的鏡像是否覆蓋原鏡像,然後單擊立即修複

    等待十分鐘後,在安全掃描頁面單擊左上方的返回表徵圖,在鏡像版本頁面可以看到新增_fixd結尾的鏡像,說明鏡像修複成功。

    說明

    修複後的鏡像以原鏡像的名稱加上_fixd結尾。

    相關文檔

    若您希望通過API介面調用鏡像版本掃描狀態,請參見GetRepoTagScanStatus - 擷取鏡像版本掃描狀態