私有镜像仓库中的镜像来源于容器镜像服务(SWR)的自有镜像,企业主机安全支持对这些共享镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息的扫描并提供扫描报告。
约束限制
仅HSS容器版支持该功能。
仅支持对Linux镜像执行安全扫描。
查看私有镜像
1、 登录管理控制台。
2、在弹窗界面单击“体验新版”,切换至企业主机安全页面。
注意切换至新版后,在总览页左上角单击“返回旧版”,可切换至企业主机安全(旧版)
3、 在左侧导航栏中,选择“资产管理 > 容器管理” ,进入容器管理界面,选择“容器镜像 > SWR私有镜像”页签。
4、单击“从SWR更新自有镜像”,可以同步SWR所有自有镜像。
手动扫描私有镜像
您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成,扫描完成后,单击“安全报告”查看安全报告。
SWR私有镜像支持的安全扫描项如下:
扫描项 | 说明 |
---|---|
漏洞 | 检测镜像中存在的漏洞。 |
恶意文件 | 检测镜像中存在的恶意文件。 |
软件信息 | 统计镜像中的软件信息。 |
文件信息 | 统计镜像中的文件信息。 |
基线检查 | 配置检查: − 检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项。 − 检测SSH应用配置项。 弱口令检查:检测镜像中存在的弱口令。 口令复杂度检查:检测镜像中不安全的口令复杂度策略。 |
敏感信息 | 检测镜像中含有敏感信息的文件。 默认不检测的路径如下: − /usr/* − /lib/* − /lib32/* − /bin/* − /sbin/* − /var/lib/* − /var/log/* − /node_modules/ / .md − /node_modules//test/− /service/iam/examples_test.go − /grafana/public/build/*.js 说明 可在“漏洞报告>敏感信息”页面,单击“敏感文件过滤路径管理”,设置不需要检测的Linux路径,最多可添加20个路径。 不检测的场景如下: − 文件大于20M。 − 文件类型为二进制、常用进程和自动生成类型。 |
软件合规 | 检测不允许使用的软件和工具。 |
基础镜像信息 | 检测未使用基础镜像构建的业务镜像。 |
1、登录管理控制台,进入企业主机安全页面。
2、在左侧导航栏中,选择“资产管理 > 容器管理”,进入容器管理界面。
3、选择“容器镜像 > 私有镜像仓库”,展开镜像名称,单击“操作”列的“安全扫描”,扫描单个镜像。
4、 在弹出的提示框中,单击“确定”,启动扫描任务。
5、待目标镜像“扫描状态”列显示为“扫描完成”,即扫描结束。
查看私有镜像安全报告
扫描完成后,可查看安全报告。
1、登录管理控制台,进入企业主机安全页面。
2、 在左侧导航栏中选择“资产管理 > 容器管理”,进入容器管理界面。
3、选择“容器镜像 > 私有镜像仓库”,展开镜像名称,单击“操作”列的“漏洞报告”,查看该镜像版本的报告详情。
查看私有镜像恶意文件报告
扫描完成后,可查看镜像上存在的恶意文件。本节介绍查看镜像版本中存在的恶意文件。
1、登录管理控制台,进入企业主机安全页面。
2、在左侧导航栏中选择“资产管理 > 容器管理”,进入容器管理界面。
3、选择“容器镜像 > 私有镜像仓库”,展开镜像名称,单击“操作”列的“漏洞报告”,查看该镜像版本的报告详情。
4、选择“恶意文件”页签,查看镜像上存在的恶意文件。
查看私有镜像软件信息报告
1、登录管理控制台,进入企业主机安全页面。
2、在左侧导航栏中选择“资产管理 > 容器管理”,进入容器管理界面。
3、 选择“容器镜像 > 私有镜像仓库”,展开镜像名称,单击“操作”列的“漏洞报告”,查看该镜像版本的报告详情。
4、选择“软件信息”页签,查看该镜像版本包含的软件、软件类型和软件中存在的漏洞数。
软件信息查看
5、单击软件名称前的,可查看该软件中漏洞的漏洞名称、修复紧急度和解决方案。
查看私有镜像文件信息报告
1、登录管理控制台,进入企业主机安全页面。
2、在左侧导航栏中选择“资产管理 > 容器管理”,进入容器管理界面。
3、 选择“容器镜像 > 私有镜像仓库”,展开镜像名称,单击“操作”列的“漏洞报告”,查看该镜像版本的报告详情。
4、 单击“文件信息”页签,查看镜像上的文件信息。
包含:文件个数,总文件大小以及文件大小排在前五十的文件详情。
文件详情查看
查看私有镜像基线检查报告
1、 登录管理控制台,进入企业主机安全页面。
2、 在左侧导航栏中选择“资产管理 > 容器管理”,进入容器管理界面。
3、 选择“容器镜像 > 私有镜像仓库”,展开镜像名称,单击“操作”列的“漏洞报告”,查看该镜像版本的报告详情。
4、 单击“基线检查”页签,查看镜像基线检查详情,并根据加固建议修复有风险的配置信息。
基线检查