概述
通过风险阻断功能,配置阻断规则以及可放通的规则和漏洞白名单,能够在拉取镜像时检查容器镜像是否符合阻断策略,并采取阻断措施,返回相关阻断说明。提高容器运行环境的安全系数。
添加风险阻断策略
本功能只能在企业版实例使用,对于个人版实例不支持使用此功能。
进入容器镜像服务控制台。
在顶部菜单栏,选择所需资源池。
在实例页面中选择已开通的企业版实例。
在企业版实例管理页面的左侧菜单上选择 "安全可信" - "风险阻断",在界面左上角点击“配置阻断策略”按钮。
在弹出界面中设置策略所属命名空间、阻断规则、放通未扫描和漏洞白名单等信息,点击“确定”,各参数说明如下:
| 参数 | 是否必填 | 说明 |
|---|---|---|
命名空间 | 必填 | 本策略关联的命名空间,凡是此命名空间下的所有镜像拉取都会使用当前策略进行检查。 |
| 阻断规则 | 必填 | 可选项包括:严重、高危、中危和低危。凡是所拉取的镜像包含规则指定漏洞等级及以上的,则会被阻断拦截。 |
| 放通未扫描 | 非必填 | 当所拉取的镜像因正在扫描或者扫描失败而无法获取扫描结果的,需要勾选此选项方可正常拉取,否则仍然会被阻断拦截。 |
| 漏洞白名单 | 非必填 | 可录入一条或多条漏洞的CVE ID(多条用英文逗号“,”分隔),如果镜像安全扫描结果中包含该漏洞ID,将被阻断规则忽略。 |
查看风险阻断策略
在添加完风险阻断策略后,可以在风险阻断规则列表中查看各条阻断策略。
可点击“编辑”对现有的策略进行修改,启用/禁用策略或其他信息修改。
可点击“删除”无用的策略。
阻断风险镜像拉取
镜像的漏洞信息可前往“镜像仓库”的镜像版本详情页中查看。
当使用客户端(如docker)拉取存在高危漏洞的镜像event-test/event-test:redis时,则会阻断拉取并提示错误信息。
