容器镜像服务企业版实例集成了云安全中心SAS,支持检测镜像系统漏洞、镜像应用漏洞、镜像基线、镜像恶意样本的风险,也提供了一键修复镜像系统漏洞的能力。本文介绍如何一键修复镜像系统漏洞。

前提条件

已开通云安全中心,具体操作,请参见购买云安全中心开通服务

背景信息

ACR支持检测以下类型的镜像漏洞、基线安全和恶意样本:
说明 目前仅支持一键修复镜像系统漏洞。如果您的容器镜像中检测到了镜像应用漏洞、镜像基线检查和镜像恶意样本漏洞,请您根据云安全中心提供的漏洞修复方案或恶意样本路径信息加固镜像。
  • 镜像系统漏洞:提供镜像系统漏洞扫描及一键修复能力,为您提供安全可信的镜像。
  • 镜像应用漏洞:提供镜像应用漏洞扫描功能,为您扫描容器相关中间件上的漏洞并提供修复建议,为您创造安全的镜像运行环境。
  • 镜像基线检查:提供镜像安全基线检查功能,为您扫描容器资产中存在的基线安全风险,并提供修复建议。
  • 镜像恶意样本:提供容器恶意样本的检测能力,为您展示资产中存在的容器安全威胁,大幅降低您使用容器的安全风险。

操作步骤

  1. 对云安全中心进行授权。
    说明 仅首次操作需要执行此步骤。
    1. 登录云安全中心控制台
    2. 在控制台左侧导航栏单击资产中心
    3. 资产中心页面单击容器页签,然后单击授权
      授权后,页面会提示授权成功
  2. 对镜像进行安全扫描。
    1. 在控制台左侧导航栏选择安全防范 > 镜像安全扫描
    2. 镜像安全扫描页面安全扫描区域单击立即扫描
    3. 一键扫描对话框中选中扫描的镜像仓,然后单击配置扫描范围
    4. 扫描设置对话框设置扫描参数。
      参数 说明
      授权使用量/总授权数 已使用、已购买的容器镜像安全扫描次数。
      扫描周期 选择执行镜像安全扫描的周期。可选每隔3天每隔一周每隔两周停止扫描
      扫描范围 设置需要扫描的镜像范围。

      单击扫描范围右侧的管理。在镜像管理对话框中,选择需要扫描的镜像仓库,单击设置。然后单击确定

      扫描时间范围 设置镜像扫描的时间范围。
      扫描策略 选中该项后,如果扫描范围内的镜像发生更新,会立即触发扫描。不选择该项,云安全中心会按照设置的扫描周期执行镜像安全扫描。
    5. 单击镜像仓页签,查看镜像仓库列表。
      云安全中心会自动同步您账号下的容器镜像服务企业版实例至镜像仓库列表中。
    6. 镜像安全扫描页面安全扫描区域单击立即扫描,在弹出的对话框单击确定
      扫描预计需要1分钟时间,您可以在1分钟后手动刷新页面查看扫描结果。
  3. 修复镜像系统漏洞。
    1. 在控制台左侧导航栏单击资产中心
    2. 资产中心页面单击容器页签。
    3. 在左侧所有应用区域单击镜像,在右侧可以看到风险状态显示存在风险的镜像。然后单击存在风险镜像操作列的处理
    4. 镜像系统漏洞页签下单击目标漏洞操作列的修复
    5. 修复对话框选择是否覆盖当前容器镜像版本,建议不覆盖当前容器镜像版本。然后单击立即修复
      如果选择不覆盖当前容器镜像版本,则会基于当前版本生成以_fix后缀标识的容器镜像。如果选择覆盖当前容器镜像版本,将会基于当前的容器镜像版本生成新的镜像内容后覆盖原有容器镜像版本。
      稍等片刻后,在资产中心页面容器页签下可以看到新生成的容器镜像版本,且该镜像当前的风险状态已更新为暂无风险