赤岩石®️ 镜像安全
容器镜像是一种轻量级的、可移植的、可复制的软件打包方式,用于打包应用程序及其依赖的所有文件和设置。容器镜像是一种可执行文件,它包含了在容器中运行应用程序所需的所有组件,如操作系统、应用程序代码、库、运行时、环境变量和配置文件等。
容器镜像的主要作用是提供一种标准化的、一致性的、可移植的打包方式,使得应用程序可以在任何支持容器的平台上运行,而不需要进行任何修改。容器镜像还具有可复制性和可部署性,可以方便地在多个计算机节点上部署和运行同一个应用程序。
但是,容器镜像作为一种可执行文件,包含了应用程序及其依赖的所有文件和设置,因此容器镜像也存在一些安全隐患,包括:
镜像来源不可信:容器镜像可能来自于不可信的第三方仓库,或者被恶意篡改过。在使用容器镜像时需要确保镜像来源可信,并且要对镜像进行验证和审查。
镜像中存在漏洞或恶意代码:容器镜像中可能存在漏洞或者恶意代码,这些漏洞或者恶意代码可能会被攻击者利用来入侵容器环境或者破坏应用程序。因此,需要对容器镜像进行安全扫描和漏洞评估,及时修复镜像中的漏洞,并加强对恶意代码的防护。
镜像配置不当:容器镜像的配置可能存在不当的设置,例如暴露不必要的端口、使用弱密码等,这些配置问题可能会导致安全漏洞和风险。因此,在使用容器镜像时需要确保配置安全合规,避免因为不当的配置导致安全问题。
镜像管理不当:容器镜像在使用和管理过程中需要注意安全,例如要对镜像进行版本管理、限制访问权限、限制容器间通信等。同时也需要注意镜像的持续更新和漏洞修复,以保持镜像的安全性。
功能总览
针对容器镜像暴露的安全问题,赤岩石®️ 镜像安全提供以下主要功能:
镜像扫描
镜像扫描功能可以将镜像仓库中存储的容器镜像拉取(pull)到本地进行扫描分析,镜像仓库无需部署任何的插件程序。使用雅客云的容器镜像扫描器,可以有效的检测容器镜像中隐匿的应用漏洞、病毒木马、可疑文件等威胁,为用户输出安全报告。在扫描任务完成后,扫描器会释放扫描任务产生的缓存文件,无需担心磁盘会因为持续扫描镜像而被打满。
镜像阻断
镜像阻断功能可以在镜像的全生命周期的重要缓解设置检查卡口,通过与CI(镜像构建系统)、镜像仓库(镜像存储系统)和 Kubernetes(镜像运行系统)的联动,经过镜像扫描并且符合审查预期的镜像允许进入下一个生命周期环节。使用此功能可以有效的对危险镜像进行拦截,及早发现问题镜像,及时完成镜像修复工作。
左右互通
在使用镜像扫描对容器镜像进行分析后,镜像会包含大量的应用漏洞,使得用户无从下手开展修复工作。左右互通功能结合镜像启动的容器实际的运行状态(集群内暴露、集群外暴露、网络可访问、漏洞可利用等),动态的对镜像中的漏洞进行修复优先级评价,按照修复紧急程度给用户指导。需要注意的是,该功能需要与赤岩石®️ 容器安全一同工作。
接入管理
接入管理能够将镜像仓库中存储的容器镜像信息接入到赤岩石镜像安全系统,以支持后续对仓库镜像的扫描。接入的信息包括容器镜像的 Repository,Tag、Degist 等信息。支持适配多种类型的容器镜像仓库品牌,已适配的有:Docker Registry,Harbor,Jfrog,阿里云 ACR,华为云 SWR。
周期扫描
周期扫描功能可以对容器镜像进行持续的扫描,以满足漏洞管理的时效性要求。镜像扫描支持自动扫描机制,系统会对变更的、新增的镜像进行扫描,当情报库更新时,系统会对全部镜像进行全量扫描。当然,也可以设置周期扫描任务来代替自动扫描,即在某个时刻完成上述扫描任务。
产品特点
可信的安全分析
扫描器能够对镜像的多个维度进行扫描,结合镜像的应用漏洞、病毒木马、可疑文件等信息为每个镜像进行安全评分。此外,结合左右互通功能,将静态的镜像和动态的镜像的数据关联分析,为用户提供更有参考意义的镜像漏洞修复优先级,为用户的生产保驾护航。
独立部署 & 扫描
镜像安全是独立于镜像仓库 / Kubernetes 部署和运行的,也就是说,您只需要准备 Linux 主机或者 Kubernetes 集群,镜像安全就可以完整部署。系统在工作过程中,不会侵占您的生产环境,不会对业务系统造成任何计算资源方面的影响。
CI/CD 无障碍接入
我们适配了常见的云、厂商的流水线、镜像仓库和容器集群系统。如,Jenkins,Tekton,Harbor、Jfrog、Rancher、Huawei CCE 等。能够在镜像构建的出口、仓库入口、仓库出口、集群入口多处进行安全卡点。对于不太常见的 CI / CD 系统,我们可以为您定制专属于您的解决方案!
超大规模镜像快速扫描
基于通用的容器镜像打包格式说明设计了轻量级高并发的镜像扫描任务队列,能够支撑大规模镜像扫描的场景。通过镜像分层分拣器可以仅下载未下载的容器镜像层,提升了镜像下载速度,减少了镜像下载时产生的网络带宽,镜像扫描速度和准确率得到了大幅度提升。