查看扫描出的镜像风险及修复说明

云安全中心提供的镜像安全扫描功能,可以检测您的镜像资产中存在的系统漏洞、应用漏洞、基线风险和恶意样本,并进行分类展示,帮助您全面了解您的镜像资产中存在的安全风险。本文介绍如何查看您镜像资产存在的安全风险及对应修复说明。

前提条件

已执行镜像安全扫描。具体操作,请参见配置和执行镜像安全扫描

背景信息

镜像安全扫描功能支持检测镜像系统漏洞、镜像应用漏洞、基线风险、镜像恶意样本和镜像敏感文件,修复部分镜像系统漏洞,其余类型均不支持修复。建议您根据云安全中心提供的修复命令、影响说明或恶意文件路径等信息,及时处理容器中存在的安全风险。

查看风险统计信息

云安全中心支持查看存在高、中、低风险的镜像统计数据,及已扫描和未扫描的镜像统计数据及列表,帮助您快速定位到存在安全风险的镜像。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 容器防护 > 镜像安全扫描

  3. 镜像安全扫描页面上方,查看以下统计信息。

    • 存在高、中、低风险的镜像数

      单击高风险镜像中风险镜像低风险镜像下的数字,可跳转到存在风险的容器资产页面,查看该资产的详细信息。

    • 查看已扫描镜像数和未扫描镜像数

      单击已扫描镜像数未扫描镜像下的数字,在已扫描镜像列表未扫描镜像列表面板,查看相应镜像列表。

      重要

      未扫描镜像包括未扫描过的镜像和扫描失败的镜像。

    • 增加容器镜像安全扫描授权数

      如果剩余授权数不足,可以单击增加授权,在购买页面购买更多容器镜像安全扫描数量。

查看镜像扫描结果

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 容器防护 > 镜像安全扫描

  3. 镜像安全扫描页面,单击对应页签,查看镜像扫描结果。

    镜像漏洞风险

    系统漏洞镜像应用漏洞页签中,可以分别查看扫描到的漏洞列表。您可以执行以下操作:

    • 搜索漏洞

      您可以在漏洞列表上方的下拉列表中选择镜像扫描容器运行时镜像扫描,选择漏洞危险等级(高、中、低),或者搜索实例ID、仓库名称、命名空间、摘要和漏洞名称以定位到相关的漏洞。

      说明

      仓库名和漏洞名称均支持模糊搜索。

    • 查看漏洞详情

      您可以单击需要查看的漏洞的操作列的查看,在漏洞详情页面,根据需要进行以下操作:

      • 查看阿里云漏洞库详细信息

        单击漏洞编号可跳转至阿里云漏洞库。您可在阿里云漏洞库页面,查看该漏洞更加详细的信息,包括漏洞的描述、基本信息、修复建议等信息。

      • 查看镜像漏洞的修复命令和影响说明

        在受影响镜像或容器列表,单击详情,查看该镜像漏洞的修复命令和影响说明。

    镜像基线检查

    镜像基线检查页签下,查看扫描出来的镜像基线检查结果列表。您可以执行以下操作:

    • 搜索基线检查结果

      您可以使用列表上方提供的搜索组件,通过基线检查结果的危险程度(高危中危低危)、基线的名称、基线的分类搜索满足条件的基线检查结果。

    • 查看镜像基线检查结果

      您可以在镜像基线检查结果列表中,查看单个或者所有镜像基线检查结果的基线名称/分类受影响镜像最新扫描时间首次扫描时间以及基线的修复状态等信息。

    • 查看镜像基线检查结果详情

      您可以在镜像基线检查结果列表中,单击操作列的详情,展开该基线检查结果的详情面板,您可以查看受该基线影响的镜像资产和容器资产信息,包括镜像地址、镜像版本、容器信息、检测时间、首次检测时间及镜像、容器上存在的不同等级基线风险数量。

      • 单击对应镜像资产操作列的详情,展开风险项面板,可查看该镜像资产中存在的风险检查项详情。

      • 单击受影响镜像受影响的容器页签的下载image图标,可以导出对应受影响镜像或容器的风险信息列表。

    镜像恶意样本

    重要

    镜像恶意样本可能会通过将可读可写的内存属性改为可读可执行、修改网络代理设置等方式入侵您的服务器系统,造成较大的危害,建议您及时处理镜像恶意样本。

    镜像恶意样本页签下,查看扫描出的镜像恶意样本列表。您可以执行以下操作:

    • 搜索镜像恶意样本

      在镜像恶意样本列表左上角选择恶意样本的危险程度:紧急可疑提醒,根据实例ID、仓库名称、命名空间、概要、恶意样本名称等信息,搜索满足条件的镜像恶意样本。

    • 查看镜像恶意样本列表

      在镜像恶意样本列表中,您可以查看所有镜像恶意样本的名称、受影响的镜像数、首次或最新扫描时间和处理状态。

    • 查看镜像恶意样本详情

      在需要查看的镜像恶意样本操作列单击详情,可查看该镜像恶意样本的详情。

    镜像敏感文件

    镜像敏感文件页签下,查看扫描出的镜像敏感文件列表。您可以执行以下操作:

    • 搜索镜像敏感文件

      在镜像敏感文件列表左上角选择敏感文件的危险程度:高危、中危或低危,根据敏感文件告警类型或者敏感信息分类,搜索满足条件的镜像敏感文件。

    • 查看镜像敏感文件列表

      在镜像敏感文件列表中,您可以查看扫描出的所有敏感文件告警类型、敏感信息分类、总受影响镜像数、未处理受影响镜像数、首次扫描时间和最新扫描时间。

    • 查看镜像敏感文件详情

      单击需要查看的敏感文件操作列详情,可查看受该敏感文件影响的镜像列表。单击受影响镜像操作列的详情,可查看检测到敏感信息的文件列表。

    镜像构建指令风险

    镜像构建指令风险页签下,查看扫描出的镜像构建指令风险列表。您可以执行以下操作:

    • 搜索镜像构建指令风险

      在镜像构建指令风险列表左上角选择指令的危险程度:高危中危低危,根据风险类型或者风险分类,搜索满足条件的镜像构建指令风险。

    • 查看镜像构建指令风险列表

      在镜像构建指令风险列表,您可以查看扫描出的所有指令风险类型、风险分类、总受影响镜像数、未处理受影响镜像数、首次扫描时间和最新扫描时间。

    • 查看镜像构建指令风险详情

      单击需要查看的风险的操作列详情,可查看受该构建指令风险影响的镜像列表。单击受影响镜像操作列的详情,可查看检测到构建指令的风险列表。

  4. 可选:在镜像安全扫描页面,单击镜像漏洞风险镜像基线检查镜像恶意样本页签,单击列表右上方的下载导出图标,可以一键导出对应扫描结果列表。

修复镜像扫描风险

您可根据查看的风险详情和修复建议处理相关漏洞和风险。

  • 镜像漏洞风险:根据漏洞的修复命令和影响说明中提供的检测结果,对镜像中存在的漏洞进行排查和修复。

    云安全中心支持一键修复部分镜像系统漏洞,当受影响镜像有更新且包含可供修复的镜像包时,可通过以下方式进行修复:

    说明

    您可以在资产中心 > 容器资产页面的镜像页签查看镜像仓库详情。具体内容,请参见查看镜像信息

    • 手动修复:在系统漏洞列表,找到操作列高亮显示修复的漏洞,单击修复,在受影响镜像列表,单击目标镜像对应操作列的修复,根据页面提示完成漏洞修复。

    • 开启自动修复:设置修复周期、修复范围等。具体内容,请参见配置镜像修复

  • 镜像基线检查:根据基线检查结果详情,手动对镜像中存在的基线风险项进行排查和修复。

  • 镜像恶意样本:建议您根据镜像恶意样本的详情(例如恶意文件路径等信息),及时手动处理镜像中存在的恶意样本。

    如果确认当前恶意样本受影响镜像无风险,您可在恶意样本的详情面板,找到受影响镜像,单击操作列的处理,将该恶意样本的告警类型添加到白名单中,系统后续不会检测白名单中镜像对应的恶意样本风险。

  • 镜像敏感文件镜像构建指令风险:建议您根据业务情况评估风险,及时移除和修正可能存在安全风险的文件内容和构建指令,重新制作镜像。

    您可在敏感文件或构建指令的详情面板,单击操作列的处理,选择处理方式:

    • 加白名单:如果确认当前敏感文件或镜像构建指令无风险,您可以将该镜像敏感文件或镜像构建指令风险的告警类型添加到白名单中,系统后续不会检测白名单中镜像对应的敏感文件或镜像构建指令风险。

    • 忽略:忽略本次风险告警,当再次扫描镜像并命中检测策略时,会再次推送告警。

    • 标记为误报:如果确认是误报,标记该风险为误报后,云安全中心会根据该反馈,优化扫描能力。

完成修复扫描出的镜像风险后,您可在镜像安全扫描页面,单击立即扫描,重新扫描镜像,更新扫描结果。