云安全中心提供的镜像安全扫描功能可以检测镜像系统漏洞、镜像应用漏洞和镜像恶意样本,为您展示资产中存在的容器安全威胁,大幅降低使用容器的安全风险。本文介绍如何查看您资产中的镜像系统漏洞、镜像应用漏洞和镜像恶意样本。

前提条件

  • 已购买容器镜像服务企业版实例。相关内容请参见创建企业版实例
  • 已购买云安全中心企业版。基础版、基础杀毒版和高级版用户需要升级到企业版才能使用镜像安全扫描功能。相关内容请参见升级与降配

背景信息

镜像安全扫描公测中,云安全中心企业版用户无需开通和申请,即可免费使用镜像安全扫描功能。

云安全中心支持使用以下方式执行镜像安全扫描:
  • 立即执行镜像安全扫描:如果您需要立即执行镜像安全扫描,您可以在镜像安全扫描页面单击一键扫描
  • 镜像漏洞扫描配置:如果您需要周期性执行镜像安全扫描,您可以配置周期性扫描的间隔时间和具体扫描时间。云安全中心会根据您的配置,周期性地执行镜像安全扫描。详细信息请参见镜像漏洞扫描配置
云安全中心支持的安全镜像特性如下:
镜像安全项目 检测 修复 备注
镜像系统漏洞 仅检测 不支持修复 建议您根据云安全中心提供的修复命令和影响说明及时处理镜像系统漏洞。
镜像应用漏洞 仅检测 不支持修复 建议您根据云安全中心提供的修复命令和影响说明及时处理镜像应用漏洞。
镜像恶意样本 仅检测 不支持修复 建议您根据云安全中心提供的恶意文件路径等信息及时处理恶意文件样本。

支持的地域

目前,仅支持部署在华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、新加坡地域的容器镜像服务企业版实例使用镜像安全扫描功能。

接入私有镜像仓库

镜像安全扫描目前仅支持接入仓库类型为harbor的私有镜像仓库。您可以参考以下步骤接入您的私有镜像仓库。

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击安全防范 > 镜像安全扫描
  3. 镜像安全扫描页面单击接入
  4. 接入私有镜像仓对话框中配置接入私有仓库的参数。接入私有镜像仓库
    您可以参考以下表格中的参数说明配置接入私有镜像仓库的参数。
    参数 说明
    私有仓库类型 选择私有仓库类型。目前仅支持选择habor。
    版本 选择私有镜像仓库的版本。支持选择以下版本:
    • V1:镜像仓库为1.X.X选择该版本。
    • V2:镜像仓库为2.X.X以上选择该版本。
    通信类型 选择云安全中心和私有镜像仓库的通信协议。可选择http或https。
    网络类型 选择私有镜像仓库的网络类型,可选择公网或VPC。
    区域 选择私有镜像仓库所在区域。
    域名 输入私有镜像仓库的域名。
    IP 输入私有镜像仓库的IP地址。
    用户名 输入访问私有镜像仓库时使用的用户名。
    密码 输入访问私有镜像仓库的密码。
  5. 单击确定
  6. 可选:立即扫描您的私有镜像仓库中是否存在安全漏洞和恶意样本。
    1. 单击立即扫描
    2. 一键扫描对话框中选择habor
    3. 单击确定
    该步骤执行完成后,云安全中心将开始扫描您的私有镜像仓库,扫描预计需要1分钟时间,您可以在1分钟后手动刷新页面查看扫描结果。

查看镜像漏洞和恶意样本

您可以在镜像安全扫描页面,查看扫描出的镜像系统漏洞镜像应用漏洞镜像恶意样本

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击安全防范 > 镜像安全扫描
  3. 可选:镜像安全扫描页面单击一键扫描
    如果您需要查看最新的镜像安全扫描结果,可以执行该步骤。扫描预计需要1分钟时间,扫描完成后您需要手动刷新当前页面查看最新数据。
  4. 镜像系统漏洞页签下查看扫描出的镜像系统漏洞。
    您可以执行以下操作:
    • 查看漏洞公告信息

      您可以查看漏洞名称、漏洞特征、受影响镜像数和最新扫描时间。

    • 查看漏洞修复紧急度
      漏洞的建议修复紧急度用不同颜色的图标表示,图标中的数字表示存在该漏洞的资产数量。 以下是图标颜色和漏洞修复紧急度的对应关系:
      • 红色图标:表示漏洞修复紧急度为
      • 橙色图标:表示漏洞修复紧急度为
      • 灰色图标:表示漏洞修复紧急度为
      容器镜像漏洞修复紧急程度
      说明 建议您立即修复紧急程度为的漏洞。
    • 搜索漏洞

      您可在镜像系统漏洞页签,通过筛选漏洞危险等级(高、中、低),搜索实例ID、仓库名称、命名空间、摘要和漏洞名称定位到相关的漏洞。

      说明 仓库名和漏洞名称都支持模糊搜索。
    • 查看漏洞详情
      单击需要查看的镜像系统漏洞操作列的查看,展开漏洞详情页面。在漏洞详情页面,您可根据需要进行以下操作:
      • 查看阿里云漏洞库详细信息
        单击漏洞编号可跳转至阿里云漏洞库。漏洞编号

        您可在阿里云漏洞库页面,查看该漏洞更加详细的信息,包括漏洞的描述、基本信息、修复建议等信息。

      • 查看镜像系统漏洞的修复命令和影响说明
        单击详情跳转到修复命令和影响说明页面,查看该镜像系统漏洞的修复命令和影响说明。影响说明
        • 修复命令:执行该命令可修复对应的漏洞。
        • 影响说明
          • 软件:该镜像的版本信息。
          • 命中:该漏洞的匹配命中原因,一般是由于当前镜像版本不满足或者小于某个版本(以小于某个版本为主)。
          • 路径:该镜像在服务器上的路径。
          • 镜像层:存在漏洞的镜像层。
        • 风险重要提醒:关于漏洞的风险提醒、补充修复建议和参考文档。
        说明 云安全中心不支持一键修复镜像系统漏洞,您可以根据修复命令和影响说明中提供的检测结果手动对镜像中存在的漏洞进行排查和修复。镜像系统漏洞修复完成后,您需要在镜像安全扫描页面,单击一键扫描,才能在镜像系统漏洞列表中看到漏洞状态的更新。
  5. 单击镜像应用漏洞页签。
  6. 镜像应用漏洞页签下查看扫描出的镜像应用漏洞。
    您可以执行以下操作:
    • 查看漏洞公告信息

      您可以查看漏洞名称、漏洞特征、受影响的镜像数和最新扫描时间。

    • 查看漏洞修复紧急度
      漏洞的建议修复紧急度用不同颜色的图标表示,图标中的数字表示存在该漏洞的资产数量。 以下是图标颜色和漏洞修复紧急度的对应关系:
      • 红色图标:表示漏洞修复紧急度为
      • 橙色图标:表示漏洞修复紧急度为
      • 灰色图标:表示漏洞修复紧急度为
      说明 建议您立即修复紧急程度为的漏洞。
    • 搜索漏洞

      您可在镜像应用漏洞页面,通过筛选漏洞危险等级(高、中、低),搜索实例ID、仓库名称、命名空间、摘要和漏洞名称定位到相关的漏洞。

      说明 仓库名和漏洞名称都支持模糊搜索。
    • 查看漏洞详情
      单击需要查看的镜像应用漏洞操作列的查看,展开漏洞详情页面。在漏洞详情页面,您可根据需要进行以下操作:
      • 查看阿里云漏洞库详细信息

        单击漏洞编号可跳转至阿里云漏洞库。

        您可在阿里云漏洞库页面,查看该漏洞更加详细的信息,包括漏洞的描述、基本信息、修复建议等信息。

      • 查看镜像应用漏洞的修复命令和影响说明

        单击详情跳转到修复命令和影响说明页面,查看该镜像应用漏洞的修复命令和影响说明。

        • 修复命令:执行该命令可修复对应的漏洞。
        • 影响说明
          • 软件:该镜像的版本信息。
          • 命中:该漏洞的匹配命中原因,一般是由于当前镜像版本不满足或者小于某个版本(以小于某个版本为主)。
          • 路径:该镜像在服务器上的路径。
          • 镜像层:存在漏洞的镜像层。
        • 风险重要提醒:关于漏洞的风险提醒、补充修复建议和参考文档。
  7. 单击镜像恶意样本页签。
  8. 镜像恶意样本页签下,您可以进行以下操作。
    • 搜索镜像恶意样本

      在镜像恶意样本列表右上角选择恶意样本的危险程度:紧急可疑提醒,根据实例ID、仓库名称、命名空间、概要、恶意样本名称等信息,搜索满足条件的镜像恶意样本。

    • 查看镜像恶意样本列表

      在镜像恶意样本列表中,您可以查看所有镜像恶意样本的名称、受影响的镜像数、首次或最新扫描时间和处理状态。

    • 查看镜像恶意样本详情

      在需要查看的镜像恶意样本操作列单击详情,可查看该镜像恶意样本的详情。

    说明 镜像恶意样本可能会通过将可读可写的内存属性改为可读可执行、修改网络代理设置等方式入侵您的服务器系统,造成较大的危害,建议您及时处理镜像恶意样本。

立即执行镜像安全扫描

需要立即执行镜像安全扫描时,您可以在镜像安全扫描页面单击立即扫描后,在一键扫描对话框中选择需要扫描的镜像类型,并单击确定。目前支持选择以下类型的镜像仓库:
  • acr:选择该类型后,云安全中心将检测您在容器镜像服务控制台创建的企业版实例是否存在安全漏洞和恶意样本。
  • harbor:选择该类型后,云安全中心将检测您已接入的私有镜像仓库是否存在安全漏洞和恶意样本。

扫描预计需要1分钟时间,您可以在1分钟后手动刷新页面查看扫描结果。

镜像漏洞扫描配置

镜像安全扫描页面单击右上角设置,在镜像漏洞扫描配置对话框中选择镜像漏洞扫描的周期并单击确定。您可以根据需要选择扫描周期和扫描时间段。
  • 扫描周期可选择:每隔3天每隔一周每隔两周停止扫描
  • 扫描时间段可选择:00:00~24:0000:00~06:0006:00~12:0012:00~18:0018:00~24:00
说明 云安全中心会根据您选择的扫描时间间隔,在选择的扫描时间段内的任意时刻执行镜像安全扫描操作。如果您选择了扫描时间段00:00~24:00,则云安全中心可能会在一天内的任何时间点为您执行镜像安全扫描。
镜像漏洞扫描配置

相关文档

容器安全

查看容器安全状态

容器K8s威胁检测

使用运行时刻安全监控