文档首页/ 主机安全服务 HSS/ 用户指南/ 资产管理/ 容器管理/ 管理SWR企业版镜像
更新时间:2024-08-08 GMT+08:00
查看PDF
分享

管理SWR企业版镜像

SWR企业版镜像源于容器镜像服务(SWR)的企业版镜像,主机安全服务支持对这些企业版镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息、软件合规和基础镜像信息的扫描并提供扫描报告。本章节介绍如何对SWR企业版镜像进行安全扫描和如何查看安全扫描报告。

约束限制

  • 仅支持对Linux镜像执行安全扫描。

查看SWR企业版镜像

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 主机安全服务”,进入主机安全平台界面。
  3. 在左侧导航栏选择资产管理 > 容器管理,进入容器管理界面。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

  4. 选择容器镜像 > 企业版镜像(SWR),查看企业版镜像信息。

    您可以查看企业版镜像的版本、大小、所属组织、安全风险、拥有者等相关信息。
    图1 查看企业版镜像
    • 更新企业版镜像

      单击“从SWR更新企业版镜像”,更新企业版镜像列表信息。

    • 筛选最新版本的镜像

      勾选“仅关注最新版本的镜像”,可筛选所有不同镜像的最新版本镜像。

扫描SWR企业版镜像

您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成,扫描完成后,单击“安全报告”查看安全报告。

SWR企业版镜像支持的安全扫描项如下:

扫描项

说明

漏洞

检测镜像中存在系统漏洞、应用漏洞。

恶意文件

检测镜像中存在的恶意文件。

软件信息

统计镜像中的软件信息。

文件信息

统计镜像中的文件信息。

基线检查
  • 配置检查:
    • 检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项。
    • 检测SSH应用配置项。
  • 弱口令检查:检测镜像中存在的弱口令。
  • 口令复杂度检查:检测镜像中不安全的口令复杂度策略。

敏感信息

检测镜像中含有敏感信息的文件。

  • 默认不检测的路径如下:
    • /usr/*
    • /lib/*
    • /lib32/*
    • /bin/*
    • /sbin/*
    • /var/lib/*
    • /var/log/*
    • 任意路径/node_modules/任意路径/任意名称.md
    • 任意路径/node_modules/任意路径/test/任意路径
    • */service/iam/examples_test.go
    • 任意路径/grafana/public/build/任意名称.js
    说明:
    • 任意路径:指当前路径为自定义值,可以是系统中任意名称的路径。
    • 任意名称:指当前路径的文件名称为自定义值,可以是系统中以.md或.js后缀结束的任意名称。
    • 可在安全报告 > 敏感信息页面,单击“敏感文件过滤路径管理”,设置不需要检测的Linux路径,最多可添加20个路径。
  • 不检测的场景如下:
    • 文件大于20MB。
    • 文件类型为二进制、常用进程和自动生成类型。

软件合规

检测不允许使用的软件和工具。

基础镜像信息

检测未使用基础镜像构建的业务镜像。
  1. 登录管理控制台,进入主机安全服务页面。
  2. 在左侧导航栏选择资产管理 > 容器管理,进入容器管理界面。
  3. 选择容器镜像 > 企业版镜像(SWR)
  4. 为单个镜像或多个镜像执行安全扫描。

    • 多架构镜像不支持批量扫描、全量扫描操作。
    • 全量扫描时间较长,且开始全量扫描后无法中断扫描,请谨慎操作!
    • 单个镜像安全扫描

      在目标镜像所在行的“操作”列,单击“安全扫描”,为单个目标镜像执行安全扫描。

    • 批量镜像安全扫描

      勾选所有目标镜像并单击镜像列表上方的“批量扫描”,为多个目标镜像执行安全扫描。

    • 全量镜像安全扫描

      单击镜像列表上方的全量扫描,为所有镜像执行安全扫描。

  5. 在弹出的提示框中,单击“确定”,启动扫描任务。

    全量扫描任务启动后,您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。

  6. 当镜像“扫描状态”更新为“扫描完成”,且“最近一次扫描完成时间”更新为最近任务执行时间,表示镜像安全扫描完成。

查看SWR企业版镜像安全报告

扫描完成后,可查看安全报告。

  1. 登录管理控制台,进入主机安全服务页面。
  1. 在左侧导航栏选择资产管理 > 容器管理,进入容器管理界面。
  2. 选择容器镜像 > 企业版镜像(SWR)
  3. 在目标镜像所在行的“操作”列,单击“安全报告”,进入安全扫描报告界面。
  4. 查看SWR企业版镜像安全报告详情。相关参数说明请参见表 安全报告参数说明

    图2 镜像安全报告
    表1 安全报告参数说明

    参数名称

    参数说明

    基本信息

    展示镜像的基本信息,包括镜像名称、所属组织、镜像版本、镜像大小、漏洞个数、镜像版本最后更新时间以及扫描状态等。

    如需重新扫描镜像安全,可以单击“重新扫描”

    漏洞报告

    展示镜像系统漏洞和应用漏洞的检测结果。

    • 查看漏洞详情

      单击漏洞名称,进入漏洞详情页面,查看漏洞基本信息以及受影响的镜像。

    • 查看漏洞CVEID、CVSS分值以及披露时间

      单击目标漏洞名称前,展开查看漏洞CVEID、CVSS分值以及披露时间。

    • 查看漏洞解决方案

      在目标漏洞所在行的“解决方案”列,单击解决方案描述,跳转至解决方案详情页面,查看漏洞解决方案详情。

    恶意文件

    展示镜像恶意文件的检测结果,检测结果包含恶意文件名称、路径、文件大小等信息。

    软件信息

    展示镜像软件信息的统计结果,统计结果包含软件名称、类型、版本以及软件漏洞个数。

    单击软件名称前的,可查看该软件中漏洞的漏洞名称、修复紧急度和解决方案。

    文件信息

    展示镜像文件信息的统计结果,统计结果包含总文件数量、总文件大小以及文件大小排在前50的文件详情。

    基线检查

    展示镜像基线检查结果,检查结果包含配置检查、口令复杂度策略检查、经典弱口令检查结果。

    • 查看配置检查详情和修改建议
      1. 在基线配置检查页签,勾选目标基线。
      2. 在目标检测项所在行的检测项列,单击“检测详情,”右面弹出检测详情页面,可以查看检测项描述以及修改建议。
    • 自定义经典弱口令
      1. 在经典弱口令检测页签,单击“自定义弱口令管理”,进入自定义弱口令详情页面。
      2. 输入弱口令完成后,单击“确认”

    敏感信息
    展示镜像敏感信息的检测结果,检测结果包含敏感信息的危险程度、镜像层路径、文件路径、敏感信息内容等。
    • 忽略敏感信息提示

      在目标敏感信息文件所在行的“操作”列,单击“忽略”,忽略您认为安全的敏感信息提示。

    • 添加敏感文件过滤路径

      如需添加不检测敏感文件的路径,可以单击“敏感文件过滤路径管理”,添加需要过滤的文件路径。

      • 仅支持过滤Linux系统文件路径。
      • 最多可自定义添加20个路径,多个路径间用回车符号进行分隔。
      • 填写示例:/usr/或/lib/test.txt。

    软件合规

    展示镜像不合规软件的检测结果,检测结果包含不合规软件名称、软件版本、路径、镜像层信息。

    基础镜像信息

    展示未使用基础镜像构建的业务镜像检测结果,检测结果包含镜像名称、版本、镜像层路径信息。

导出SWR企业版镜像漏洞或基线报告

多架构镜像不支持导出漏洞报告。

  1. 登录管理控制台,进入主机安全服务页面。
  1. 在左侧导航栏选择资产管理 > 容器管理,进入容器管理界面。
  1. 选择容器镜像 > 企业版镜像(SWR)
  2. 单击镜像列表上方“导出”,选择导出报告类型,导出漏洞或基线报告。

    如果您想要导出指定镜像的报告,您可以在漏洞列表上方的搜索框中选择指定类型的镜像后,再单击“导出”

  3. 在容器管理界面上方查看导出状态,待导出成功后,在主机本地默认下载文件地址,获取导出的信息。

    导出过程中,请勿关闭浏览器页面,否则会导致导出任务中断。

父主题: 容器管理

相关文档