镜像风险主要帮助管理员梳理容器镜像的安全风险,包括容器镜像的漏洞、恶意文件、敏感信息等。
3.3.4.1.镜像扫描
仓库镜像
仓库镜像用于梳理镜像仓库中存在哪些镜像,存在哪些安全问题,以便管理员更好的清点与管理镜像资产。
顶部可以查看到仓库镜像总数、可信镜像总数和基础镜像总数。
镜像扫描模块可以查看到已经扫描的镜像镜像数量、未扫描的镜像数量和存在风险镜像的分布情况。
扫描镜像主要分为以下几类:
| 序号 |
镜像类型 |
说明 |
| 01 |
|
不存在漏洞或者恶意文件的镜像。 |
| 02 |
|
不存在高危、中危漏洞或者高危、中危恶意文件,存在低危漏洞或者低危恶意文件的镜像。 |
| 03 |
|
不存在高危漏洞或者高危危恶意文件,存在中危漏洞或者中危恶意文件的镜像。 |
| 04 |
|
存在高危漏洞或者高危恶意文件的镜像。 |
点击<私有仓库管理>,可以查看、管理已经连接的私有仓库,也可以对接新的私有仓库。
点击<添加>按钮,可以添加私有仓库。
支持对接Registry、Harbor、JFrog、Tencent Tcr、Huawei Ser、Aliyun Acr、华为私有云8.1.1 SWR、阿里专有云标准版 3.16.2这些类型的私有仓库。
点击<扫描设置>可以根据对接的仓库设置仓库镜像的扫描策略。
• 增量扫描:开启增量扫描之后,若本地新增新的镜像,则自动开始扫描镜像。管理员可以定义扫描内容是仅扫描漏洞、恶意文件、敏感信息中的一、二种或三者都要扫描;也可以定义扫描范围,是否只检查正在运行容器的镜像。
• 定时扫描:开启定时扫描后,可以设置扫描周期和扫描开始时间、扫描范围以及扫描内容,管理员可以根据需求进行自定义。
点击<扫描任务>可以查看近30天内手动扫描和自动扫描的扫描情况和结果。
本地镜像
本地镜像,用于梳理节点中存在哪些镜像,存在哪些安全问题,以便管理员更好的清点所有节点上的镜像资产。
顶部可以查看到本地镜像总数、可信镜像总数。
扫描镜像主要分为以下几类:
| 序号 |
镜像类型 |
说明 |
| 01 |
|
不存在漏洞或者恶意文件的镜像。 |
| 02 |
|
不存在高危、中危漏洞或者高危、中危恶意文件,存在低危漏洞或者低危恶意文件的镜像。 |
| 03 |
|
不存在高危漏洞或者高危危恶意文件,存在中危漏洞或者中危恶意文件的镜像。 |
| 04 |
|
存在高危漏洞或者高危恶意文件的镜像。 |
点击<扫描设置>可以设置本地镜像的扫描策略。
• 增量扫描:开启增量扫描之后,若本地新增新的镜像,则自动开始扫描镜像。管理员可以定义扫描内容是仅扫描漏洞、恶意文件、敏感信息中的一、二种或三者都要扫描;也可以定义扫描范围,是否只检查正在运行容器的镜像。
• 定时扫描:开启定时扫描后,可以设置扫描周期和扫描开始时间以及扫描内容,管理员可以根据需求进行自定义。
点击<扫描任务>可以查看近30天内手动扫描和自动扫描的扫描情况和结果。
点击<查看结果>可以查看本次扫描结果的详情,点击<导出>可以导出报表。
点击<快速扫描>可以进行镜像扫描。管理员可以根据需求选择扫描内容和定义需要扫描的镜像范围。
本地镜像列表详情页面主要展示风险等级、镜像名称、镜像ID、Tag、所属仓库、风险等级、镜像风险、合规评估结果、关联节点数、关联容器数、镜像大小、首次发现时间等信息,可以通过<…>按钮来选择需要展示或者不需要展示的信息。
勾选镜像,点击<开始扫描>可以对所选择的单个或多个镜像进行扫描。
勾选镜像,点击<导出>,可以导出所选择的单个或多个镜像的详细信息,若未勾选,则导出所有镜像详细信息。
点击<镜像名称>,可以查看镜像的详细信息。
| 序号 |
功能 |
说明 |
| 01 |
基本信息 |
展示镜像的镜像名称、镜像ID、镜像版本、镜像大小、首次发现时间、扫描时间、架构、Docker版本、操作系统、环境信息等相关信息。 |
| 02 |
构建历史 |
展示镜像的构建历史,可以查看每一层引入的风险问题,以及下载Dockerfile文件。 |
| 03 |
资产清点 |
展示该镜像中系统安装包以及语言包的版本及路径。 |
| 04 |
风险评估结果 |
主要展示该镜像是否符合预设的镜像安全要求。 |
| 05 |
应用漏洞 |
展示该镜像使用的应用中扫描出的漏洞信息,包括漏洞影响的应用版本、漏洞名称/CVE号、风险等级、漏洞特征、漏洞影响类型、影响应用、应用类型、影响的镜像数等信息。 |
| 06 |
系统漏洞 |
展示该镜像使用的系统中扫描出的系统信息,包括漏洞影响的应用版本、漏洞名称/CVE号、风险等级、漏洞特征、漏洞影响类型、影响应用、应用类型、影响的镜像数等信息。 |
| 07 |
恶意文件 |
展示该镜像存在的恶意文件的恶意文件名称、恶意文件类型、文件哈希、文件路径、文件大小等信息; 管理员可以根据勾选不展示已加白恶意文件、文件类型、文件名称、文件哈希等条件对漏洞进行过滤筛选 |
| 08 |
敏感信息 |
敏感文件:主要展示镜像构建中的敏感文件信息,如密钥、证书等。 敏感构建命令:主要展示在构建镜像时的敏感命令,如构建命令包含了账号密码,使用了ssh服务等。 |
3.3.4.2.风险分析
漏洞
漏洞可以对环境中的系统漏洞与应用漏洞进行汇总,管理员可以根据漏洞的特征对漏洞的重要性进行研判,并将需要修复的镜像导出给开发人员进行修复。
在漏洞页面总会展示存在的高危、中危、低危漏洞的数量及饼状图、Top5影响面的漏洞,以及根据不同漏洞特征分类的漏洞数量。
点击<添加漏洞白名单>按钮,可以添加单个或多个漏洞到白名单内。
点击<白名单管理>按钮,可以查看添加的漏洞白名单。
勾选漏洞,点击<导出>,可以导出所选择的单个或多个漏洞的详细信息,若未勾选,则导出所有漏洞详细信息。
点击<漏洞名称>可以查看详细的漏洞信息。
恶意文件
恶意文件可以对镜像中的恶意文件进行汇总,管理员可以看到这些恶意文件关联的镜像,并将需要修复的镜像导出给开发人员进行修复。
在总览页面总会展示存恶意文件总数、Top5影响面的恶意文件,以及根据不同恶意文件类型分类的数量。
点击<查看白名单>按钮,可以查看添加的恶意文件白名单。
勾选恶意文件,点击<导出>,可以导出所选择的单个或多个恶意文件的详细信息,若未勾选,则导出所有恶意文件详细信息。
点击<恶意文件>可以查看恶意文件的基本信息、告警举证信息以及关联的镜像。
点击<下载文件>可以在控制台直接下载恶意文件进行查看研判。
若判断恶意文件无影响或是误判可以点击<添加白名单>将该文件加入白名单中。
敏感信息
敏感信息可以对镜像中的敏感信息与敏感构建命令进行汇总,管理员可以看到这些敏感信息关联的镜像,并将需要修复的镜像导出给开发人员进行修复。
在总览页面总会展示存敏感文件、敏感构建命令总数、Top5影响面镜像数检查项,以及敏感文件类型/敏感命令类型分布。
点击<查看详情>可以查看敏感文件/敏感构建命令的信息信息,包括敏感文件/敏感命令的基础信息和未通过检查项的原因,以及影响的镜像。
勾选敏感文件/敏感命令,点击<导出>,可以导出所选择的单个或多个敏感文件/敏感命令的详细信息,若未勾选,则导出所有敏感文件/敏感命令详细信息。
3.3.4.3.镜像安全评估
镜像安全评估可以帮助管理员自定义规则检查镜像是否满足企业内部要求。自定义内容主要包括:存在漏洞、存在恶意文件、存在敏感信息、镜像非可信、存在风险操作系统、存在风险应用、非来自私有仓库等。
点击<新增>可新增镜像安全评估策略,管理员可根据需求自定义内容后保存策略,然后再对镜像进行扫描。
镜像扫描完成后,可在镜像扫描页面中的合规评估结果中查看到。
建议使用Chrome浏览器访问!
