镜像上的基础系统软件、中间件、Web应用、数据库服务等,可能会存在挖矿木马、后门程序等安全漏洞,危害您的资产安全。执行镜像安全扫描可以帮助您检测漏洞资产中是否存在镜像漏洞和恶意样本,为您创造安全的镜像运行环境。本文介绍如何执行镜像安全扫描操作。

前提条件

背景信息

云安全中心支持使用以下方式执行镜像安全扫描:
注意 如果您镜像变更过(即镜像摘要发生变化),执行镜像安全扫描时会消耗您购买的容器镜像安全扫描次数。执行镜像安全扫描前,请确保您有足够的容器镜像安全扫描次数。

立即执行镜像安全扫描

需要立即执行镜像安全扫描时,您可以在镜像安全扫描页面单击立即扫描后,在一键扫描对话框中选择需要扫描的镜像类型,并单击确定。目前支持选择以下类型的镜像仓库:
  • ACR:选择该类型后,云安全中心将检测您在容器镜像服务控制台创建的企业版实例是否存在安全漏洞和恶意样本。
  • Harbor:选择该类型后,云安全中心将检测您已接入的私有镜像仓库是否存在安全漏洞和恶意样本。

扫描预计需要1分钟时间,您可以在1分钟后手动刷新页面查看扫描结果。

配置镜像漏洞扫描周期

如果需要周期性扫描您的资产中是否存在镜像漏洞或恶意样本,您可以参照以下步骤配置镜像漏洞扫描周期。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择安全防范 > 镜像安全扫描
  3. 镜像安全扫描页面右上角,单击扫描设置
  4. 扫描设置面板,设置扫描相关参数。镜像漏洞扫描配置
    您可以参考以下表格中的参数说明,设置扫描相关参数。
    参数 说明
    已授权/总授权数 已使用、已购买的容器镜像安全扫描次数。如果
    扫描周期 选择执行镜像安全扫描的周期。可选周期:
    • 每隔3天
    • 每隔一周
    • 每隔两周
    • 停止扫描
    扫描范围 设置需要扫描的镜像范围。具体操作如下:
    1. 单击扫描范围右侧的管理
    2. 镜像管理对话框中,选择需要扫描的镜像仓库。
    3. 单击设置
    扫描策略 选中该项后,如果扫描范围内的镜像发生更新,会立即触发扫描。不选择该项,云安全中心会按照设置的扫描周期执行镜像安全扫描。
  5. 可选:单击镜像仓页签,查看镜像仓库列表。
    您可以查看支持扫描的容器镜像服务企业版实例(镜像库类型为ACR)和已接入的私有镜像仓库(镜像库类型为Harbor)列表。您还可以进行以下操作管理私有镜像仓库:
    • 接入私有镜像仓:单击接入镜像仓接入您的私有镜像仓库。接入私有镜像仓相关参数配置,请参见接入私有镜像仓库
    • 移除私有镜像仓库:单击私有镜像仓库操作列的移除,并在提示信息对话框中单击确定
    说明 云安全中心会自动同步您账号下的容器镜像服务企业版实例至镜像仓库列表中,不支持在镜像仓库列表中移除容器镜像服务企业版实例。
  6. 单击确定

后续步骤

执行完镜像安全扫描后,您可以查看镜像安全扫描结果。更多信息,请参见查看镜像安全扫描结果