更新时间:2024-12-26 GMT+08:00

管理仓库镜像

仓库镜像中包含SWR私有镜像、SWR共享镜像、SWR企业版镜像和三方镜像;SWR相关的镜像是由容器镜像服务(SWR)同步到HSS,三方镜像您可参考接入三方镜像仓接入。

HSS为这些类型镜像提供安全扫描服务,支持漏洞、恶意文件、软件信息、文件信息、基线配置、敏感信息、软件合规、基础镜像信息等检查项,检查项说明如表 仓库镜像检查项所示。

您可以定期扫描镜像安全,以便及时发现并清理安全风险,以提升镜像安全性,让您的资产远离安全威胁。

表1 仓库镜像检查项

检查项

说明

漏洞风险

检测镜像中存在系统漏洞、应用漏洞。

恶意文件

检测镜像中存在的恶意文件。

软件信息

统计镜像中的软件信息。

文件信息

统计镜像中的文件信息。

基线检查

  • 配置检查:
    • 检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项。
    • 检测SSH应用配置项。
  • 弱口令检查:检测镜像中存在的弱口令。
  • 口令复杂度检查:检测镜像中不安全的口令复杂度策略。

敏感信息

检测镜像中含有敏感信息的文件。

  • 默认不检测的路径如下:
    • /usr/*
    • /lib/*
    • /lib32/*
    • /bin/*
    • /sbin/*
    • /var/lib/*
    • /var/log/*
    • 任意路径/node_modules/任意路径/任意名称.md
    • 任意路径/node_modules/任意路径/test/任意路径
    • */service/iam/examples_test.go
    • 任意路径/grafana/public/build/任意名称.js
    说明:
    • 任意路径:指当前路径为自定义值,可以是系统中任意名称的路径。
    • 任意名称:指当前路径的文件名称为自定义值,可以是系统中以.md或.js后缀结束的任意名称。
    • 可在安全报告 > 敏感信息页面,单击“敏感文件过滤路径管理”,设置不需要检测的Linux路径,最多可添加20个路径。
  • 不检测的场景如下:
    • 文件大于20MB。
    • 文件类型为二进制、常用进程和自动生成类型。

软件合规

检测不允许使用的软件和工具。

基础镜像信息

检测未使用基础镜像构建的业务镜像。

约束与限制

  • 仅支持对Linux镜像执行安全扫描。

查看仓库镜像信息

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航栏,选择资产管理 > 容器管理,进入容器管理页面。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

  4. 选择容器镜像 > 仓库镜像,进入仓库镜像页面。

    图1 仓库镜像

  5. 查看仓库镜像信息。

    您可以在镜像列表中查看镜像的版本、大小、安全风险等信息。

    此外,您也可以做以下操作:
    • 同步最新资产

      同步最新资产是指同步仓库镜像的基础信息,此时不会下载SWR镜像到HSS或者将三方仓库镜像下载到承载集群上。

      1. 单击“同步最新资产”,选择“同步类型”,单击“确定”,开始同步。
      2. “容器管理”页面右上角,单击“任务管理”,选择“镜像资产同步”页签,查看镜像同步任务执行进度。

      在同步镜像时需要在SWR授权才能正常同步,操作详情请参见SWR授权方法

    • 筛选最新版本的镜像

      勾选“仅关注最新版本的镜像”,可筛选所有不同镜像的最新版本镜像。

    • 查看镜像详细信息

      鼠标悬停在目标镜像的“镜像信息”列,可查看镜像“所属组织”“仓库类型”。单击镜像名称,可进入镜像详情页面,查看镜像版本和安全扫描状态等信息。

扫描仓库镜像

您可以手动扫描镜像或设置定时扫描策略定时扫描镜像。安全扫描的时长主要取决于镜像的大小,一般情况下扫描一个镜像可以在三分钟之内完成。

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航栏,选择资产管理 > 容器管理,进入容器管理页面。
  4. 选择容器镜像 > 仓库镜像,进入仓库镜像页面。

    图2 仓库镜像

  5. 扫描镜像。

    • SWR共享镜像只有镜像状态为“有效”时,可执行安全扫描。
    • 多架构镜像不支持手动扫描、定时扫描。
    • 立即扫描单个镜像
      1. 在目标镜像所在行的“操作”列,单击“立即扫描”,弹出安全扫描对话框。
      2. 确认镜像信息,并单击“确定”,开始扫描。
    • 手动扫描多个镜像
      1. 在页面右上方,单击“手动扫描”,弹出手动扫描对话框。
      2. 配置手动扫描参数,如图 手动扫描所示,相关参数说明请参见表 手动扫描参数说明
        图3 手动扫描
        表2 手动扫描参数说明

        参数名称

        参数说明

        取值样例

        扫描风险类型

        勾选需要扫描的风险类型。HSS会默认扫描“软件信息”“文件信息”“基础镜像”信息,此处无需选择。

        全选

        三方镜像仓限速

        如果您有大量三方镜像待扫描,但您担心集中扫描镜像时占用过多网络带宽,影响您的业务,您可以单击,选择扫描镜像的速度,限制每小时扫描镜像的数量。

        不限速

        扫描任务数量

        由于1个扫描任务会占用您1个Pod资源,您可以设置集群上运行的扫描任务的数量。

        例如设置扫描任务数量为2,则只允许集群上运行2个扫描任务。

        2

        扫描镜像范围

        选择扫描“全部镜像”“指定镜像”。全量扫描时间较长,且开始全量扫描后无法中断扫描,请谨慎操作!

        全部镜像

      3. 单击“确定”,开始扫描。
    • 定时扫描镜像
      1. 在页面右上方,单击“定时扫描策略”,弹出定时扫描策略配置对话框。
      2. 配置定时扫描参数,如图 定时扫描策略所示,相关参数说明请参见表 定时扫描策略参数说明
        图4 定时扫描策略
        表3 定时扫描策略参数说明

        参数名称

        参数说明

        取值样例

        定时扫描策略

        定时扫描策略开关,开启后可查看和配置定时扫描参数。

        • 表示关闭
        • 表示开启

        定时扫描周期

        单击可选择扫描周期,扫描时段固定为00:00:00 - 07:00:00。

        每三天

        扫描风险类型

        勾选需要扫描的风险类型。HSS会默认扫描“软件信息”“文件信息”“基础镜像”信息,此处无需选择。

        全选

        三方镜像仓限速

        如果您有大量镜像待扫描,但您担心集中扫描镜像时占用过多网络带宽,影响您的业务,您可以单击,选择扫描镜像的速度,限制每小时扫描镜像的数量。

        不限速

        镜像时间范围

        选择镜像更新的时间范围。时间范围决定哪些镜像会被扫描。

        例如,扫描时间范围选择“最近15天”,那么HSS只会扫描最近15天内更新的镜像,更新时间超过15天的镜像,则不会被扫描。

        最近15天

        扫描任务数量

        由于1个扫描任务会占用您1个Pod资源,您可以设置集群上运行的扫描任务的数量。

        例如设置扫描任务数量为2,则只允许集群上运行2个扫描任务。

        2

        选择镜像

        勾选需要扫描的镜像类型。

        Swr-private

      3. 单击“确定”,开始扫描。

  1. 在页面右上角,单击“任务管理”,选择“镜像扫描”页签,可查看镜像扫描任务执行情况。

查看仓库镜像扫描结果

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航栏,选择资产管理 > 容器管理,进入容器管理页面。
  4. 选择容器镜像 > 仓库镜像,进入仓库镜像页面。

    图5 仓库镜像

  5. 在目标镜像所在行的“操作”列,单击“查看结果”,进入镜像详情页面。
  6. 查看镜像安全扫描结果。相关参数说明请参见表 安全报告参数说明

    图6 镜像安全报告
    表4 安全报告参数说明

    参数名称

    参数说明

    基本信息

    展示镜像的基本信息,包括镜像名称、所属组织、镜像版本、镜像大小、漏洞个数、镜像版本最后更新时间以及扫描状态等。

    如需重新扫描镜像安全,可以单击“重新扫描”

    漏洞报告

    展示镜像系统漏洞和应用漏洞的检测结果。

    • 查看漏洞详情

      单击漏洞名称,进入漏洞详情页面,查看漏洞基本信息以及受影响的镜像。

    • 查看漏洞CVEID、CVSS分值以及披露时间

      单击目标漏洞名称前,展开查看漏洞CVEID、CVSS分值以及披露时间。

    • 查看漏洞解决方案

      在目标漏洞所在行的“解决方案”列,单击解决方案描述,跳转至解决方案详情页面,查看漏洞解决方案详情。

    恶意文件

    展示镜像恶意文件的检测结果,检测结果包含恶意文件名称、路径、文件大小等信息。

    软件信息

    展示镜像软件信息的统计结果,统计结果包含软件名称、类型、版本以及软件漏洞个数。

    单击软件名称前的,可查看该软件中漏洞的漏洞名称、修复紧急度和解决方案。

    文件信息

    展示镜像文件信息的统计结果,统计结果包含总文件数量、总文件大小以及文件大小排在前50的文件详情。

    基线检查

    展示镜像基线检查结果,检查结果包含配置检查、口令复杂度策略检查、经典弱口令检查结果。

    • 查看配置检查详情和修改建议
      1. 在基线配置检查页签,勾选目标基线。
      2. 在目标检测项所在行的检测项列,单击“检测详情,”右侧弹出检测详情页面,可以查看检测项描述以及修改建议。
    • 自定义经典弱口令
      1. 在经典弱口令检测页签,单击“自定义弱口令管理”,进入自定义弱口令详情页面。
      2. 输入弱口令完成后,单击“确认”

    敏感信息

    展示镜像敏感信息的检测结果,检测结果包含敏感信息的危险程度、镜像层路径、文件路径、敏感信息内容等。

    如需添加不检测敏感文件的路径,可以单击“敏感文件过滤路径管理”,添加需要过滤的文件路径。

    • 仅支持过滤Linux系统文件路径。
    • 最多可自定义添加20个路径,多个路径间用回车符号进行分隔。
    • 填写示例:/usr/或/lib/test.txt。

    软件合规

    展示镜像不合规软件的检测结果,检测结果包含不合规软件名称、软件版本、路径、镜像层信息。

    基础镜像信息

    展示未使用基础镜像构建的业务镜像检测结果,检测结果包含镜像名称、版本、镜像层路径信息。

导出镜像漏洞报告或基线报告

多架构镜像不支持导出漏洞、基线报告。

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航栏,选择资产管理 > 容器管理,进入容器管理页面。
  4. 选择容器镜像 > 仓库镜像,进入仓库镜像页面。

    图7 仓库镜像

  5. 单击镜像列表上方“导出”,选择导出报告类型,导出漏洞或基线报告。

    如果您想要导出指定镜像的报告,您可以在漏洞列表上方的搜索框中选择指定类型的镜像后,再单击“导出”

  6. 在容器管理界面上方查看导出状态,待导出成功后,在主机本地默认下载文件地址,获取导出的信息。

    导出过程中,请勿关闭浏览器页面,否则会导致导出任务中断。