全部產品
Search
文件中心

Security Center:鏡像安全掃描介紹

更新時間:Nov 15, 2024

鏡像安全掃描功能為容器鏡像提供了全面的安全檢測和管理能力,可以協助您發現鏡像中存在的高危系統漏洞、應用漏洞、惡意樣本、配置風險和敏感性資料;針對鏡像系統漏洞提供了漏洞修複方案,以便您及時解決安全隱患。通過使用該功能,您可以輕鬆管理和維護鏡像的安全性,讓系統和資料遠離潛在的安全威脅。

版本限制說明

鏡像安全掃描功能為Security Center增值服務,需單獨購買。僅支援進階版企業版旗艦版僅採購增值服務使用者購買鏡像安全掃描功能。

支援的地區

僅部署在下述地區的Container Registry支援使用鏡像安全掃描功能。

地區

支援的地區

中國

  • 華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)

  • 華南1(深圳)、華南2(河源)、華南3(廣州)

  • 華東1(杭州)、華東2(上海)

  • 西南1(成都)

  • 中國香港

  • 華東2 金融雲(上海)、華南1 金融雲(深圳)、華北2 金融雲(北京)、華北2 阿里政務雲1(北京)

全球(不含中國)

  • 日本(東京)、韓國(首爾)、新加坡、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、泰國(曼穀)

  • 德國(法蘭克福)、英國(倫敦)、美國(維吉尼亞)、美國(矽谷)

支援掃描的安全鏡像特性

檢查類型

說明

處理建議

鏡像系統漏洞

支援檢測在鏡像中存在的可能導致容器環境安全風險的漏洞,包括鏡像中的作業系統漏洞、第三方軟體漏洞等。

建議您根據云資訊安全中心提供的修複命令和影響說明及時處理鏡像系統漏洞。

鏡像應用漏洞

支援檢測鏡像中存在的應用程式相關的安全性漏洞。這些漏洞可能導致未授權訪問、代碼注入、拒絕服務等安全問題。

建議您根據云資訊安全中心提供的修複命令和影響說明及時處理鏡像應用漏洞。

鏡像基準檢查

用於評估容器鏡像是否符合預定義的安全配置規範和最佳實務。

建議您根據云資訊安全中心提供的基準檢查詳細資料及時處理鏡像基準風險。

鏡像惡意樣本

對容器鏡像和容器運行時可能存在的惡意檔案、惡意代碼和惡意行為進行檢測。

建議您根據云資訊安全中心提供的惡意檔案路徑等資訊及時處理惡意檔案樣本。

鏡像敏感檔案

支援檢測常見敏感檔案,包括但不限於:

  • 包含敏感資訊的應用配置

  • 通用的認證密鑰

  • 應用認證或登入憑證

  • 雲端服務器廠商的相關憑證

建議您根據云資訊安全中心提供的加固建議評估風險,及時移除敏感資訊,重新製作鏡像。

鏡像構建指令風險

檢測鏡像構建指令風險,包括但不限於:

  • 使用了棄用的MAINTAINER

  • 鏡像未指定使用者(USER)

  • 以Root使用者運行應用(USER)

  • 使用了ADD

  • 在構建過程中使用敏感性資料(ENV)

  • 使用NODE_TLS_REJECT_UNAUTHORIZED 環境變數禁用認證驗證(ENV)

  • apt與Docker檔案的RUN命令一起使用(RUN)

建議您根據云資訊安全中心提供的風險說明,及時處理鏡像構建指令風險,重新製作鏡像。

重要

鏡像安全掃描檢測出的風險中,當前部分鏡像系統漏洞支援線上一鍵修複能力,其它風險項,可參考詳情中的修複建議進行手動修複。具體內容,請參見修複鏡像掃描風險

支援的作業系統

作業系統類型

支援掃描的作業系統版本

支援修複的作業系統版本

Red Hat

  • Red Hat 5

  • Red Hat 6

  • Red Hat 7

CentOS

  • CentOS 5

  • CentOS 6

  • CentOS 7

  • CentOS 7

  • CentOS 8

Ubuntu

  • Ubuntu 12.04

  • Ubuntu 14.04

  • Ubuntu 16.04

  • Ubuntu 18.04

  • Ubuntu 18.10

  • Ubuntu 14

  • Ubuntu 16

  • Ubuntu 18

Debian

  • Debian 6

  • Debian 7

  • Debian 8

  • Debian 9

  • Debian 10

  • Debian 9

  • Debian 10

Alpine

  • Alpine 2.3

  • Alpine 2.4

  • Alpine 2.5

  • Alpine 2.6

  • Alpine 2.7

  • Alpine 3.1

  • Alpine 3.2

  • Alpine 3.3

  • Alpine 3.4

  • Alpine 3.5

  • Alpine 3.6

  • Alpine 3.7

  • Alpine 3.8

  • Alpine 3.9

  • Alpine 3.10

  • Alpine 3.11

  • Alpine 3.12

Alpine 3.9

Amazon Linux

  • Amazon Linux 2

  • Amazon Linux AMI

Oracle Linux

  • Oracle Linux 5

  • Oracle Linux 6

  • Oracle Linux 7

  • Oracle Linux 8

SUSE Linux Enterprise Server

  • SUSE Linux Enterprise Server 5

  • SUSE Linux Enterprise Server 6

  • SUSE Linux Enterprise Server 7

  • SUSE Linux Enterprise Server 8

  • SUSE Linux Enterprise Server 9

  • SUSE Linux Enterprise Server 10

  • SUSE Linux Enterprise Server 10 SP4

  • SUSE Linux Enterprise Server 11 SP3

  • SUSE Linux Enterprise Server 12 SP2

  • SUSE Linux Enterprise Server 12 SP5

Fedora Linux

  • Fedora Linux 2X

  • Fedora Linux 3X

openSUSE

  • openSUSE 10.0

  • openSUSE Leap 15.2

  • openSUSE Leap 42.3

使用流程

  1. 開通服務:鏡像安全掃描功能按照掃描鏡像次數計費,需要開通服務併購買足夠的容器鏡像安全掃描數量。

  2. 配置和執行鏡像安全掃描:根據實際業務需求,配置鏡像掃描範圍,選擇手動立即掃描或配置掃描周期進行定期掃描。

  3. 查看掃描出的鏡像風險及修複說明:查看鏡像安全掃描結果,並根據修複說明處理相關風險。

相關文檔