文档首页/ 企业主机安全 HSS/ 用户指南(阿布扎比区域)/ 资产管理/ 容器管理/ 容器镜像/ SWR私有镜像管理
更新时间:2024-07-12 GMT+08:00
查看PDF
分享

SWR私有镜像管理

私有镜像仓库中的镜像来源于容器镜像服务(SWR)的自有镜像,企业主机安全支持对这些共享镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息的扫描并提供扫描报告。

约束限制

  • 仅HSS容器版支持该功能。
  • 仅支持对Linux镜像执行安全扫描。

查看私有镜像

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
  3. 在左侧导航栏中,选择资产管理 > 容器管理 ,进入容器管理界面页签。
  4. 单击“从SWR更新自有镜像”,可以同步SWR所有自有镜像。

手动扫描私有镜像

您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成,扫描完成后,单击“安全报告”查看安全报告。

SWR私有镜像支持的安全扫描项如下:

扫描项

说明

漏洞

检测镜像中存在系统漏洞、应用漏洞。

恶意文件

检测镜像中存在的恶意文件。

软件信息

统计镜像中的软件信息。

文件信息

统计镜像中的文件信息。

基线检查
  • 配置检查:
    • 检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项。
    • 检测SSH应用配置项。
  • 弱口令检查:检测镜像中存在的弱口令。
  • 口令复杂度检查:检测镜像中不安全的口令复杂度策略。

敏感信息

检测镜像中含有敏感信息的文件。

  • 默认不检测的路径如下:
    • /usr/*
    • /lib/*
    • /lib32/*
    • /bin/*
    • /sbin/*
    • /var/lib/*
    • /var/log/*
    • */node_modules/*/*.md
    • */node_modules/*/test/*
    • */service/iam/examples_test.go
    • */grafana/public/build/*.js
    说明:

    可在漏洞报告 > 敏感信息页面,单击“敏感文件过滤路径管理”,设置不需要检测的Linux路径,最多可添加20个路径。

  • 不检测的场景如下:
    • 文件大于20M。
    • 文件类型为二进制、常用进程和自动生成类型。

软件合规

检测不允许使用的软件和工具。

基础镜像信息

检测未使用基础镜像构建的业务镜像。
  1. 登录管理控制台,进入企业主机安全页面。
  2. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
  3. 选择容器镜像 > SWR私有镜像,展开镜像名称,单击“操作”列的“安全扫描”,扫描单个镜像。
  4. 在弹出的提示框中,单击“确定”,启动扫描任务。
  5. 待目标镜像“扫描状态”列显示为“扫描完成”,即扫描结束。

查看私有镜像恶意文件报告

扫描完成后,可查看镜像上存在的恶意文件。本节介绍查看镜像版本中存在的恶意文件。

  1. 登录管理控制台,进入企业主机安全页面。
  2. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
  3. 选择容器镜像 > SWR私有镜像,单击“操作”列的“安全报告”,查看该镜像版本的报告详情。
  4. 选择“恶意文件”页签,查看镜像上存在的恶意文件。

查看私有镜像软件信息报告

  1. 登录管理控制台,进入企业主机安全页面。
  2. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
  3. 选择容器镜像 > SWR私有镜像,单击“操作”列的“安全报告”,查看该镜像版本的报告详情。
  4. 选择“软件信息”页签,查看该镜像版本包含的软件、软件类型和软件中存在的漏洞数。
  5. 单击软件名称前的,可查看该软件中漏洞的漏洞名称、修复紧急度和解决方案。

查看私有镜像文件信息报告

  1. 登录管理控制台,进入企业主机安全页面。
  2. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
  3. 选择容器镜像 > SWR私有镜像,单击“操作”列的“安全报告”,查看该镜像版本的报告详情。
  4. 单击“文件信息”页签,查看镜像上的文件信息。

    包含:文件个数,总文件大小以及文件大小排在前五十的文件详情。

查看私有镜像基线检查报告

  1. 登录管理控制台,进入企业主机安全页面。
  2. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
  3. 选择容器镜像 > SWR私有镜像,单击“操作”列的“安全报告”,查看该镜像版本的报告详情。
  4. 选择“基线检查”,查看基线检查报告。

    您可以查看目标镜像的配置检查、口令复杂度策略检查、经典弱口令检查结果。

    • 查看配置检查详情和修改建议
      1. 在基线配置检查页签,勾选目标基线。
      2. 在目标检测项所在行的检测项列,单击“检测详情,”右面弹出检测详情页面,可以查看检测项描述以及修改建议。
    • 自定义经典弱口令
      1. 在经典弱口令检测页签,单击“自定义弱口令管理”,进入自定义弱口令详情页面。
      2. 输入弱口令完成后,单击“确认”

查看私有镜像敏感信息报告

  1. 登录管理控制台,进入企业主机安全页面。
  2. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
  3. 选择容器镜像 > SWR私有镜像,单击“操作”列的“安全报告”,查看该镜像版本的报告详情。
  4. 单击“敏感信息”页签,查看镜像敏感信息详情,并可对风险告警进行忽略处理。
  5. 单击“敏感文件过滤路径管理”,查看自定义的白名单路径信息,同时可进行编辑。

    表1 自定义路径配置说明

    路径规格项

    规格描述

    取值样例

    支持系统

    仅支持Linux。

    -

    填写规范

    最多自定义20个路径,多路径配置时不同路径之间用回车符号进行分隔。

    /usr/

    /lib/test.txt

    默认白名单路径

    默认支持的白名单目录或文件格式如下,无需配置。

    /usr/*

    /lib/*

    /lib32/*

    /bin/*

    /sbin/*

    /var/lib/*

    /var/log/*

    */node_modules/*/*.md

    */node_modules/*/test/*

    */service/iam/examples_test.go

    */grafana/public/build/*.js

    -

    不扫描场景
    • 文件大于20M。
    • 以下文件类型中时不进行扫描:
      • 常用二进制文件类型
      • 常用程序文件类型
      • 自动生成文件类型
    • jpg|png|gif|mov|avi|mpeg|pdf|mp4|mp3|svg|tar|gz|zip
    • js|jar|java||md|cpp|cxx|scala|pl
    • [0-9a-zA-Z_-]{32,64}

查看私有镜像软件合规报告

  1. 登录管理控制台,进入企业主机安全页面。
  1. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
  2. 选择容器镜像 > SWR私有镜像
  3. 在目标镜像所在行的“操作”列,单击“安全报告”,进入安全扫描报告界面。
  4. 选择“软件合规”,查看软件合规报告。

    您可以查看不合规软件的名称、路径、镜像层信息。

查看私有镜像基础镜像信息报告

  1. 登录管理控制台,进入企业主机安全页面。
  1. 在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
  2. 选择容器镜像 > SWR私有镜像
  3. 在目标镜像所在行的“操作”列,单击“安全报告”,进入安全扫描报告界面。
  4. 选择“基础镜像信息”,查看基础镜像信息报告。

    您可以查看未使用基础镜像构建的业务镜像的名称、版本、镜像层路径信息。

父主题: 容器镜像