镜像安全是容器稳定运行的必备条件,当镜像存在安全风险时,风险镜像运行的容器随时可能遭受攻击、影响线上运行业务稳定性。因此在业务上线之前,需对即将应用到的镜像进行安全风险评估,确认无风险后再投入使用。
镜像安全风险主要涉及漏洞、木马和敏感信息泄漏,其中涉及到的镜像漏洞及漏洞管理问题尤其重要。在对镜像漏洞进行扫描和管理时,主要分为两个阶段进行管理:上线前、上线后。
上线前:镜像存储在仓库,客户需要对仓库镜像的安全性进行保障。
上线后:拉取到云服务器的镜像称为本地镜像,业务方需及时评估最新漏洞、应急漏洞等是否影响到运行业务的镜像。
仓库存储阶段
镜像上线之前,客户将打包或下载好的镜像存储在仓库,入仓时需对新入仓的镜像进行整体安全评估,如存在安全问题,建议修复后再入仓管理。
拉取仓库镜像
腾讯云容器安全服务支持的仓库类型包括:腾讯云 TCR 镜像、腾讯云 CCR 镜像、Harbor 镜像。
TCR 和 CCR 镜像默认自动拉取,当有新镜像入仓时,在 仓库镜像页面,单页右上角的数据更新即可更新资产。
当客户镜像存储在 Harbor 仓库时,客户需手动接入仓库再拉取镜像资产。在 仓库镜像页面,单页右上角的镜像仓管理 > 新增镜像仓,按要求验证仓库基本信息、连接地址等即可。
扫描与查看仓库镜像漏洞
如需查看全部漏洞,依次单击系统漏洞和应用漏洞,导出所有漏洞列表,在列表中查看影响仓库镜像的漏洞即可。一般情况下,镜像扫描的漏洞数据较多,全部修复工作量较大,建议区分优先级依次修复,例如:按应急漏洞,按具有 EXP、POC、远程利用、在野利用等标签等。
POC(Proof of Concept):可通过一段描述或样例来证明漏洞确实存在。
EXP(Exploit):一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。
远程利用漏洞:指攻击者可以直接通过网络发起攻击并利用的软件漏洞。例如这类软件漏洞中的 RCE(远程代码执行)漏洞危害极大,攻击者能随心所欲地通过此漏洞对远端计算机进行远程控制,此类漏洞也是蠕虫病毒主要利用的漏洞。
本地利用漏洞:指攻击者必须在本机具有访问权限的前提下才能攻击并利用的软件漏洞。比较典型的是没有网络服务功能的本地软件漏洞,以及本地权限提升漏洞。例如本地提权漏洞能让普通用户获得最高管理员权限甚至系统内核的权限。
在野利用:该类漏洞存在在野利用或腾讯云上存在在野攻击(数据来源:we-detect 和 cisa)。
按应急漏洞
建议优先修复应急漏洞。对所有应急漏洞进行扫描之后,扫描完成单击
按具有 EXP、POC、远程利用、在野利用等标签
应急漏洞修复完成后,客户可优先挑选具有 EXP、POC、远程利用、在野利用等标签的系统漏洞和应用漏洞进行修复。对风险标签进行筛选,单击
本地应用阶段
镜像安全风险问题在仓库存储阶段得到监控和修复后,在本地应用阶段则仅需关注新增漏洞的问题。本地镜像如存在严重的漏洞问题,可能直接影响线上业务。
授权与扫描本地镜像
容器安全服务会在每天的资产自动更新时,默认更新云服务器上存在的镜像,无需客户手动拉取。客户如需关注重点业务镜像的安全风险,可按如下步骤操作:
步骤1:授权镜像
1. 在仓库镜像,单击页面上方的授权管理。
2. 在授权管理页面中,镜像范围筛选选择仅关注关联容器数不为0的镜像,并搜索所需内网 IP,配置相关参数,单击确认授权。
说明
授权镜像时,可支持多内网 IP 进行检索,筛选关注节点、且运行有容器的镜像:多内网 IP 检索时,使用英文“|”对 IP 进行分隔,可使用文档替换工具,批量将列表中的换行符替换为“|”。目前前端限制多 IP 检索的数量为200个,建议不要超过这个量,否则数据量大的时候容易检索超时。
步骤2:扫描镜像
在完成授权操作后,可保证授权的镜像仅为筛选的节点上的镜像,且镜像有容器在运行。在实际业务运行中,节点上镜像是否运行容器、是否新增,可通过在本地镜像列表进行筛选。
查看本地镜像漏洞
如需查看全部漏洞,依次单击系统漏洞和应用漏洞,导出所有漏洞列表,在列表中查看影响本地镜像的漏洞即可。一般情况下,镜像扫描的漏洞数据较多,全部修复工作量较大,建议区分优先级依次修复,例如:按应急漏洞,按具有 EXP、POC、远程利用、在野利用等标签等。
按应急漏洞
建议优先修复应急漏洞。对所有应急漏洞进行扫描之后,扫描完成单击
按具有 EXP、POC、远程利用、在野利用等标签
应急漏洞修复完成后,客户可优先挑选具有 EXP、POC、远程利用、在野利用等标签的系统漏洞和应用漏洞进行修复。对风险标签进行筛选,单击