产品概述
产品优势
应用场景
功能介绍与版本对比
镜像漏洞扫描和漏洞管理
镜像安全是容器稳定运行的必备条件,当镜像存在安全风险时,风险镜像运行的容器随时可能遭受攻击、影响线上运行业务稳定性。因此在业务上线之前,需对即将应用到的镜像进行安全风险评估,确认无风险后再投入使用。
镜像安全风险主要涉及漏洞、木马和敏感信息泄漏,其中涉及到的镜像漏洞及漏洞管理问题尤其重要。在对镜像漏洞进行扫描和管理时,主要分为两个阶段进行管理:上线前、上线后。
上线前:镜像存储在仓库,客户需要对仓库镜像的安全性进行保障。
上线后:拉取到云服务器的镜像称为本地镜像,业务方需及时评估最新漏洞、应急漏洞等是否影响到运行业务的镜像。
仓库存储阶段
镜像上线之前,客户将打包或下载好的镜像存储在仓库,入仓时需对新入仓的镜像进行整体安全评估,如存在安全问题,建议修复后再入仓管理。
拉取仓库镜像
腾讯云容器安全服务支持的仓库类型包括:腾讯云 TCR 镜像、腾讯云 CCR 镜像、Harbor 镜像。
TCR 和 CCR 镜像默认自动拉取,当有新镜像入仓时,在 仓库镜像页面,单页右上角的同步资产即可更新资产。
当客户镜像存储在 Harbor 仓库时,客户需手动接入仓库再拉取镜像资产。在仓库镜像页面,单页右上角的镜像仓管理 > 添加镜像仓,按要求验证仓库基本信息、连接地址等即可。
扫描与查看仓库镜像漏洞
如需查看全部漏洞,依次单击系统漏洞和应用漏洞,导出所有漏洞列表,在列表中查看影响仓库镜像的漏洞即可。一般情况下,镜像扫描的漏洞数据较多,全部修复工作量较大,建议区分优先级依次修复,例如:按应急漏洞,按具有 EXP、POC、远程利用、在野利用等标签等。
POC(Proof of Concept):可通过一段描述或样例来证明漏洞确实存在。
EXP(Exploit):一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。
远程利用漏洞:指攻击者可以直接通过网络发起攻击并利用的软件漏洞。例如这类软件漏洞中的 RCE(远程代码执行)漏洞危害极大,攻击者能随心所欲地通过此漏洞对远端计算机进行远程控制,此类漏洞也是蠕虫病毒主要利用的漏洞。
本地利用漏洞:指攻击者必须在本机具有访问权限的前提下才能攻击并利用的软件漏洞。比较典型的是没有网络服务功能的本地软件漏洞,以及本地权限提升漏洞。例如本地提权漏洞能让普通用户获得最高管理员权限甚至系统内核的权限。
在野利用:该类漏洞存在在野利用或腾讯云上存在在野攻击(数据来源:we-detect 和 cisa)。
按应急漏洞
建议优先修复应急漏洞。对所有应急漏洞进行扫描之后,扫描完成单击
按具有 EXP、POC、远程利用、在野利用等标签
应急漏洞修复完成后,客户可优先挑选具有 EXP、POC、远程利用、在野利用等标签的系统漏洞和应用漏洞进行修复。对风险标签进行筛选,单击
除了上述标签,客户在筛选仓库镜像漏洞时,也可利用“仅展示影响最新版本的镜像”、“威胁等级”、“CVSS”评分等条件进行综合筛选。
本地应用阶段
镜像安全风险问题在仓库存储阶段得到监控和修复后,在本地应用阶段则仅需关注新增漏洞的问题。本地镜像如存在严重的漏洞问题,可能直接影响线上业务。
扫描镜像
查看本地镜像漏洞
如需查看全部漏洞,依次单击系统漏洞和应用漏洞,导出所有漏洞列表,在列表中查看影响本地镜像的漏洞即可。一般情况下,镜像扫描的漏洞数据较多,全部修复工作量较大,建议区分优先级依次修复,例如:按应急漏洞,按具有 EXP、POC、远程利用、在野利用等标签等。
按应急漏洞
建议优先修复应急漏洞。对所有应急漏洞进行扫描之后,扫描完成单击
按具有 EXP、POC、远程利用、在野利用等标签
应急漏洞修复完成后,客户可优先挑选具有 EXP、POC、远程利用、在野利用等标签的系统漏洞和应用漏洞进行修复。对风险标签进行筛选,单击
除了上述标签,客户在筛选本地镜像漏洞时,如只需查看运行容器的本地镜像漏洞时,可打开“仅展示影响容器的漏洞”开关,或在导出的漏洞列表中筛选关联容器大于0的镜像。同时也可以利用“威胁等级”、“CVSS”评分等条件进行综合筛选。
文档反馈