云安全中心的镜像安全扫描功能,可以帮助您检测您的镜像中是否存在镜像漏洞、基线风险、恶意样本和敏感文件,为您创造安全的镜像运行环境。本文介绍如何进行镜像安全扫描。

前提条件

背景信息

镜像上的基础系统软件、中间件、Web应用、数据库服务等,可能会存在挖矿木马、后门程序等安全漏洞,危害您的资产安全。云安全中心支持立即执行镜像安全扫描和配置镜像漏洞扫描周期定期扫描两种扫描方式。具体操作,请参见立即执行镜像安全扫描配置镜像漏洞扫描周期(定期扫描)
重要 如果您的镜像发生变更(即镜像摘要发生变化),执行镜像安全扫描时会消耗已购买的容器镜像安全扫描次数。执行镜像安全扫描前,请确保您有足够的容器镜像安全扫描次数。

立即执行镜像安全扫描

如果您需要立即执行镜像安全扫描,可以在镜像安全扫描页面,单击立即扫描后,在一键扫描对话框选择需要扫描的镜像类型,并单击确定。目前支持选择以下类型的镜像仓库:
  • ACR:选择该类型后,云安全中心将检测您在容器镜像服务控制台创建的企业版实例是否存在安全风险。
  • Harbor:选择该类型后,云安全中心将检测您已接入的私有镜像仓库是否存在安全风险。

镜像风险扫描预计需要一分钟时间,您可以在一分钟后手动刷新页面,在下方的风险列表中查看扫描结果。

配置镜像漏洞扫描周期(定期扫描)

如果需要定期自动扫描您的容器资产中是否存在镜像漏洞或恶意样本,您可以参照以下步骤配置镜像漏洞扫描周期。

  1. 登录云安全中心控制台在左侧导航栏,选择防护配置 > 容器防护 > 镜像安全扫描
  2. 镜像安全扫描页面的右上角,单击扫描设置
  3. 扫描设置面板扫描配置页签,配置相关参数。
    配置项 说明
    已消耗授权数/总授权 显示您已使用和已购买的容器镜像安全扫描次数。如果您的镜像安全扫描次数即将耗尽,您可以单击扩容购买镜像安全扫描次数。
    扫描周期 选择执行镜像安全扫描的周期。
    扫描范围 设置需要扫描的镜像范围。具体操作如下:
    1. 单击扫描范围右侧的管理
    2. 镜像管理对话框中,选择需要扫描的镜像仓库。
    3. 单击设置
    扫描时间范围 选择镜像漏洞扫描的时间范围。
    重要 扫描时间范围以镜像的更新时间为准。若无更新时间,则以创建时间为准,时间范围决定镜像是否会被扫描。例如,扫描时间范围选择为最近7天,那么云安全中心会扫描最近7天以内更新的镜像。镜像更新时间超过7天,则不会被扫描。
    漏洞保留时长 设置漏洞扫描结果的保留时长。云安全中心会自动删除超过保留时长的漏洞扫描结果。
    云安全中心将按照您的漏洞扫描配置,对您的镜像进行安全扫描。

管理镜像仓

您可单击镜像仓页签,查看支持扫描的容器镜像服务企业版实例(镜像库类型为ACR)和已接入的私有镜像仓库(镜像库类型为Harbor)列表。
说明 云安全中心会自动同步当前阿里云账号下的容器镜像服务企业版实例至镜像仓库列表中,不支持在镜像仓库列表中移除容器镜像服务企业版实例。
  • 如需扫描不在镜像仓库列表中的私有镜像仓库,您可以单击接入镜像仓接入您的私有镜像仓库。具体操作,请参见接入镜像仓库
  • 如果镜像仓库列表中的某个私有镜像仓库无需扫描,您可以单击私有镜像仓库操作列的移除,并在提示对话框单击确定,将其移除。
    说明 镜像仓库列表中的两个默认镜像仓(镜像仓类型为acr、defaultAcr)不支持删除。
  • 如果是harbor镜像仓,您可以单击操作列的编辑,设置镜像扫描的限速,以提高镜像安全扫描的效率。限速表示1个小时内可完成扫描的镜像个数,默认为10。例如,该harbor镜像仓库中有200个镜像,使用默认限速,完成扫描需要20小时。如果将限速设置为200,则仅需1小时即可完成扫描。

配置镜像基线扫描

您可以在配置镜像漏洞扫描的同时,配置镜像基线检查相关项。

  1. 登录云安全中心控制台在左侧导航栏,选择防护配置 > 容器防护 > 镜像安全扫描
  2. 镜像安全扫描页面的右上角,单击扫描设置
  3. 扫描配置面板,单击基线配置管理页签。
  4. 单击配置范围右侧的管理
  5. 基线检查范围面板,选择您要检查的基线。
    重要 下方的Access Key泄露检查密码泄露检查配置项中包含的基线,与基线检查范围面板上的Access Key泄漏密码泄漏这两个基线相同。如果您在基线检查范围面板上已经选择了Access Key泄漏密码泄漏这两个基线,下方的Access Key泄露检查密码泄露检查的配置状态开关会自动打开,您无需再重复设置。您也可以通过Access Key泄露检查密码泄露检查后面的开关快捷开启或关闭这两个基线。
  6. 单击确认
    配置完成后,云安全中心在执行镜像安全扫描的同时,会对您镜像的基线配置进行检查。

立即执行容器运行时镜像扫描

容器运行时镜像扫描功能可以帮您检测容器启动时是否存在安全风险。容器运行时镜像扫描仅支持手动扫描,不支持设置周期性扫描。

  1. 登录云安全中心控制台在左侧导航栏,选择防护配置 > 容器防护 > 镜像安全扫描
  2. 镜像安全扫描页面的右上角,单击扫描设置
  3. 扫描配置面板,单击容器运行时镜像扫描页签。
  4. 选中需要扫描的集群,并单击集群列表下方的立即扫描
    执行立即扫描后,您可以前往任务管理面板容器运行时镜像扫描页签查看扫描进度。扫描完成后,在镜像安全扫描页面镜像漏洞风险页签下,可查看检测出的漏洞。

配置镜像敏感文件扫描

镜像敏感文件扫描功能支持检测常见的敏感文件和您自定义的镜像文件中是否存在敏感数据,支持检测的常见敏感文件类型包括:包含敏感信息的应用配置、通用的证书密钥、应用认证或登录凭证、云服务器厂商的相关凭证等。该功能可以发现镜像环境中的敏感信息,您及时处理检测出的敏感数据可以提高镜像运行环境的安全性。

  1. 登录云安全中心控制台在左侧导航栏,选择防护配置 > 容器防护 > 镜像安全扫描
  2. 镜像安全扫描页面的右上角,单击扫描设置
  3. 扫描设置面板,单击敏感文件扫描配置页签。
  4. 打开或关闭敏感文件检测开关。
    开启敏感文件检测开关后,在您执行立即扫描操作或配置的周期性扫描执行时,将会同时启动敏感文件检测。

配置漏洞白名单

如果无需扫描某个镜像漏洞,您可以将该漏洞添加到漏洞白名单中,系统不会检测漏洞白名单中的漏洞。

  1. 登录云安全中心控制台在左侧导航栏,选择防护配置 > 容器防护 > 镜像安全扫描
  2. 镜像安全扫描页面的右上角,单击扫描设置
  3. 扫描设置面板,单击漏洞白名单配置页签。
  4. 配置漏洞白名单。
    • 新增漏洞白名单规则:单击新增规则,在新增规则面板上为不同类型的漏洞自定义白名单规则。
    • 编辑漏洞白名单规则:单击目标白名单规则操作列的编辑,修改该白名单的规则范围备注
    • 删除漏洞白名单规则:单击目标白名单规则操作列的删除,删除该白名单规则。漏洞从白名单移除后,云安全中心将重新启用对该漏洞的检测和告警。

后续步骤

执行完镜像安全扫描后,您可以查看镜像安全扫描结果。更多信息,请参见查看镜像安全扫描结果