共计 2935 个字符,预计需要花费 8 分钟才能阅读完成。
近期 Spring 破绽等高危破绽频发,为帮忙用户更好地发现及升高镜像中的安全隐患,缩小生产环境潜在平安危险,在 2022 年 4 月 1 日 00:00 – 2022 年 4 月 15 日 24:00 期间,阿里云容器镜像服务企业版(ACR EE)反对收费试用体验云平安扫描引擎。 反对不同镜像版本 1 万次扫描额度(以镜像 Digest 辨别,雷同 Digest 不限次扫描)。如果您以后企业版实例未默认开启应用,能够提工单(地址:https://selfservice.console.a…)申请。该扫描引擎由 ACR EE 与云平安深度单干提供,全面反对扫描容器镜像中的系统漏洞、利用破绽、基线查看、歹意样本,提供继续的危险发现能力及主动修复能力。
容器平安重要性
随着企业上云率一直晋升,越来越多的企业抉择在生产环境中应用容器架构。基于 CNCF 2020 年公布的报告 [1] 中显示,在生产中利用容器的企业比例从去年的 84% 增长到 2021 年的 92%。Gartner 预测 [2] 2025 年 95% 的企业将基于云原生平台。艾瑞征询在《中国容器云市场钻研报告》中显示,2020 年有 84.7%[3](43.9% 曾经应用,40.8% 打算应用)的中国企业曾经或打算应用容器。同样,软件开发内生安全性将成为评估企业 DevOps 成熟度程度的重要指标,在实际了 DevOps 的团队中,48%[4] 最看重 Security 个性。
然而因为容器利用具备的麻利弹性、高密度部署、凋谢复用,让用户在享受云原生红利的同时,也产生了较大的平安担心。Tripwire 2019 年对 311 位 IT 平安业余人员进行了调研,发现 60% 的组织都遭逢过容器安全事故[5],不论是 Kubernetes 集群被侵入事件还是 Docker Hub 频繁被爆含有破绽和恶意程序的镜像,让越来越多的企业开始关注容器平安的最佳实际。
阿里云容器镜像服务企业版
阿里云容器镜像服务企业版(简称 ACR EE)是一个企业级的云原生利用制品治理平台,提供容器镜像、Helm Chart 等 OCI 制品平安托管和高效散发能力。在 DevSecOps 场景中,企业客户能够应用 ACR 云原生利用交付链,实现高效平安的云原生利用交付,减速企业的翻新迭代。在寰球多地区合作、业务出海、GoChina 场景,企业客户能够应用寰球同步成能力,同时联合寰球对立域名实现就近拉取,晋升分发运维效率。在大规模散发、AI 大镜像训练推理场景,企业能够应用 ACR P2P 散发或按需散发能力,进一步晋升部署迭代效率。查看详情:https://www.aliyun.com/produc…
什么是增强型扫描引擎?
增强型扫描引擎由 ACR EE 和云平安核心深度单干提供,扫描能力相较于目前风行的开源扫描引擎版本(Clair 等),提供了更精准的破绽筛选能力(所有破绽均通过业余团队平安经营,确保有效性,大幅升高误报率)。同时 ACR EE 提供了 批量扫描 和主动扫描 的能力,反对命名空间和仓库不同粒度的扫描范畴,能够针对不同场景诉求提供自动化、规模化扫描反对。此外 ACR EE 提供了事件告诉能力,反对和客户现有的 DevOps 流程做集成。
目前扫描引擎反对的扫描危险类型如下:
• 系统漏洞: 反对常见支流操作系统的破绽辨认,并反对 一键修复。例如 Linux 内核破绽、不平安的零碎软件包、不平安的 Java SDK 等。
• 利用破绽: 提供镜像利用破绽扫描性能,为您扫描容器相干中间件上的破绽,反对包含零碎服务弱口令、零碎服务破绽、应用服务破绽的检测。例如 fastjson 近程代码执行破绽、Apache Log4j2 近程代码执行破绽、Spring Framework 近程代码执行破绽、Apache Hadoop 信息泄露破绽、Apache Tomcat 信息泄露破绽等。
• 基线查看: 提供镜像平安基线查看性能,为您扫描容器资产中存在的基线平安危险,反对操作系统和服务(数据库、服务器软件、容器等)的弱口令、账号权限、身份甄别、明码策略、访问控制、平安审计和入侵防备等平安配置,并提供检测后果,针对存在的危险配置给出加固倡议。例如 Access Key 透露、未受权拜访、服务配置等。
• 歹意样本: 提供容器歹意样本的检测能力,为您展现资产中存在的容器平安威逼,帮忙您找到存在歹意样本的地位,便于您依据地位修复歹意样本,大幅升高您应用容器的平安危险。例如发现后门(Webshell)文件、自变异木马、后门程序等。
如何启用增强型扫描引擎?
- 在企业版实例治理页面抉择 平安可信 > 镜像扫描,点击右上角的切换按钮,将扫描引擎切换到云平安扫描引擎。如下图所示:
- 在镜像扫描页面创立扫描规定,目前反对命名空间和仓库级别的扫描规定的主动扫描。也能够抉择手动触发扫描,针对规定范畴下的存量镜像进行全量危险辨认。举荐您配置扫描事件告诉,在镜像扫描实现后以钉钉、HTTP 或者 HTTPS 形式将扫描后果进行同步。
- 创立完扫描规定后,点击立刻扫描,查看扫描工作状态及最终的危险状态。
- 点击查看详情,从系统漏洞、利用破绽、基线查看、歹意样本多个维度确认容器镜像的平安危险。如下图所示,能够看到镜像中蕴含的近期 Spring 等高危破绽已被剖析辨认进去。
- 同时配置的钉钉机器人也收到相应告诉报警(也反对 HTTP/HTTPS 等形式进行告诉)。
云原生利用交付链助力企业实现 DevSecOps
ACR EE 除了反对容器镜像的深度危险辨认与修复,还提供了云原生利用交付链能力,反对灵便的安全策略保障制品更平安、高效交付上线。同时云原生利用交付链中的各个环节也能够被您的 CI/CD 流程(如 Jenkins Pipeline、GitLab Runner 等)集成应用。
1. 降级企业版实例规格为高级版,在实例概览页点击 云原生交付链 > 交付链, 点击创立交付链。在平安扫描节点,设置当呈现一个高危破绽后,阻断容器镜像的后续交付,可选删除原始危险镜像或备份。
2. 在交付链作用范畴内,主动推送一个带有高危危险的容器镜像,会主动触发平安扫描并执行安全策略,阻断危险镜像部署。
- 如果镜像存在系统漏洞,能够在交付链阻断之后进行一键修复
• 交付链被阻断
• 勾选所有危险项,点击一键修复
• 期待镜像修复实现,默认修复实现后会构建出 tag 以 _fixed 结尾的新镜像并从新触发交付链执行
• 能够察看到修复后镜像通过平安扫描后曾经没有之前的破绽,并且交付链也顺利执行实现,同时在镜像版本页面也能够看到原镜像和修复镜像的危险状态比照
附录
[1]Cloud Native Survey 2020
https://www.cncf.io/blog/2020…
[2]Gartner:云将成为新数字体验的外围
https://www.gartner.com/cn/ne…
[3]2020 年中国容器云市场钻研报告——艾瑞云原生系列报告(一)
https://www.iresearch.com.cn/…
[4]2020 年中国 DevOps 利用倒退钻研——艾瑞云原生系列报告(二)
https://www.iresearch.com.cn/…
[5] 60% of Organizations Suffered a Container Security Incident in 2018, Finds Study
https://www.tripwire.com/stat…
