ACR EE 增强型扫描引擎限时免费,多维度保障容器镜像安全

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 增强型扫描引擎由 ACR EE 和云安全中心深度合作提供,扫描能力相较于目前流行的开源扫描引擎版本(Clair等),提供了更精准的漏洞筛选能力(所有漏洞均经过专业团队安全运营,确保有效性,大幅降低误报率)。同时 ACR EE 提供了批量扫描和自动扫描的能力,支持命名空间和仓库不同粒度的扫描范围,可以针对不同场景诉求提供自动化、规模化扫描支持。此外 ACR EE 提供了事件通知能力,支持和客户现有的 DevOps 流程做集成。

1.jpeg

近期 Spring 漏洞等高危漏洞频发,为帮助用户更好地发现及降低镜像中的安全隐患,减少生产环境潜在安全风险,在 2022 年 4 月 1日 00:00 - 2022 年 4 月 30 日 24:00 期间,阿里云容器镜像服务企业版(ACR EE)支持免费试用体验云安全扫描引擎,支持不同镜像版本 1 万次扫描额度(以镜像 Digest 区分,相同 Digest 不限次扫描)。如果您当前企业版实例未默认开启使用,可以提工单申请。该扫描引擎由 ACR EE 与云安全深度合作提供,全面支持扫描容器镜像中的系统漏洞、应用漏洞、基线检查、恶意样本,提供持续的风险发现能力及自动修复能力。

容器安全重要性

随着企业上云率不断提升,越来越多的企业选择在生产环境中使用容器架构。基于 CNCF 2020 年发布的报告[1]中显示,在生产中应用容器的企业比例从去年的 84% 增长到 2021 年的 92%。Gartner预测[2]2025年95%的企业将基于云原生平台。艾瑞咨询在《中国容器云市场研究报告》中显示,2020 年有 84.7%[3](43.9%已经使用,40.8%计划使用)的中国企业已经或计划使用容器。同样,软件开发内生安全性将成为评价企业 DevOps 成熟度水平的重要指标,在实践了DevOps的团队中,48%[4]最看重 Security 特性。

但是由于容器应用具备的敏捷弹性、高密度部署、开放复用,让用户在享受云原生红利的同时,也产生了较大的安全担忧。Tripwire 2019 年对 311 位 IT 安全专业人员进行了调研,发现 60% 的组织都遭遇过容器安全事故[5],不管是 Kubernetes 集群被侵入事件还是 Docker Hub 频繁被爆含有漏洞和恶意程序的镜像,让越来越多的企业开始关注容器安全的最佳实践。

容器镜像服务企业版

容器镜像服务企业版(简称 ACR EE)是一个企业级的云原生应用制品管理平台,提供容器镜像、Helm Chart 等 OCI 制品安全托管和高效分发能力。在 DevSecOps 场景中,企业客户可以使用 ACR 云原生应用交付链,实现高效安全的云原生应用交付,加速企业的创新迭代。在全球多地域协作、业务出海、GoChina 场景,企业客户可以使用全球同步成能力,同时结合全球统一域名实现就近拉取,提升分发运维效率。在大规模分发、AI 大镜像训练推理场景,企业可以使用 ACR P2P 分发或按需分发能力,进一步提升部署迭代效率,具体信息可以查看产品介绍

增强型扫描引擎介绍

增强型扫描引擎由 ACR EE 和云安全中心深度合作提供,扫描能力相较于目前流行的开源扫描引擎版本(Clair等),提供了更精准的漏洞筛选能力(所有漏洞均经过专业团队安全运营,确保有效性,大幅降低误报率)。同时 ACR EE 提供了批量扫描和自动扫描的能力,支持命名空间和仓库不同粒度的扫描范围,可以针对不同场景诉求提供自动化、规模化扫描支持。此外 ACR EE 提供了事件通知能力,支持和客户现有的 DevOps 流程做集成。目前扫描引擎支持的扫描风险类型如下:

  • 系统漏洞:支持常见主流操作系统的漏洞识别,并支持一键修复。例如Linux内核漏洞、不安全的系统软件包、不安全的Java SDK等。
  • 应用漏洞:提供镜像应用漏洞扫描功能,为您扫描容器相关中间件上的漏洞,支持包括系统服务弱口令、系统服务漏洞、应用服务漏洞的检测。例如fastjson远程代码执行漏洞、Apache Log4j2远程代码执行漏洞、Spring Framework远程代码执行漏洞、Apache Hadoop 信息泄露漏洞、Apache Tomcat信息泄露漏洞等。
  • 基线检查:提供镜像安全基线检查功能,为您扫描容器资产中存在的基线安全风险,支持操作系统和服务(数据库、服务器软件、容器等)的弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置,并提供检测结果,针对存在的风险配置给出加固建议。例如Access Key泄漏、未授权访问、服务配置等。
  • 恶意样本:提供容器恶意样本的检测能力,为您展示资产中存在的容器安全威胁,帮助您找到存在恶意样本的位置,便于您根据位置修复恶意样本,大幅降低您使用容器的安全风险。例如发现后门(Webshell)文件、自变异木马、后门程序等。

如何启用增强型扫描引擎

  1. 在企业版实例管理页面选择安全可信 > 镜像扫描,点击右上角的切换按钮,将扫描引擎切换到云安全扫描引擎。如下图所示:

  1. 在镜像扫描页面创建扫描规则,目前支持命名空间和仓库级别的扫描规则的自动扫描。也可以选择手动触发扫描,针对规则范围下的存量镜像进行全量风险识别。推荐您配置扫描事件通知,在镜像扫描完成后以钉钉、HTTP 或者 HTTPS 方式将扫描结果进行同步。


  1. 创建完扫描规则后,点击立即扫描,查看扫描任务状态及最终的风险状态。

  1. 点击查看详情,从系统漏洞、应用漏洞、基线检查、恶意样本多个维度确认容器镜像的安全风险。如下图所示,可以看到镜像中包含的近期 Spring 等高危漏洞已被分析识别出来。

  1. 同时配置的钉钉机器人也收到相应通知报警(也支持 HTTP/HTTPS 等方式进行通知)


云原生应用交付链助力企业实践 DevSecOps

ACR EE 除了支持容器镜像的深度风险识别与修复,还提供了云原生应用交付链能力,支持灵活的安全策略保障制品更安全、高效交付上线。同时云原生应用交付链中的各个环节也可以被您的 CI/CD 流程(如 Jenkins Pipeline、GitLab Runner 等)集成使用。

  1. 升级企业版实例规格为高级版,在实例概览页点击云原生交付链 > 交付链,点击创建交付链。在安全扫描节点,设置当出现一个高危漏洞后,阻断容器镜像的后续交付,可选删除原始风险镜像或备份。

  1. 在交付链作用范围内,自动推送一个带有高危风险的容器镜像,会自动触发安全扫描并执行安全策略,阻断风险镜像部署。

  1. 如果镜像存在系统漏洞,可以在交付链阻断之后进行一键修复
  • 交付链被阻断

  • 勾选所有风险项,点击一键修复

  • 等待镜像修复完成,默认修复完成后会构建出 tag 以 _fixed 结尾的新镜像并重新触发交付链执行

  • 可以观察到修复后镜像经过安全扫描后已经没有之前的漏洞,并且交付链也顺利执行完成,同时在镜像版本页面也可以看到原镜像和修复镜像的风险状态对比

附录:

[1] Cloud Native Survey 2020

[2] Gartner:云将成为新数字体验的核心

[3] 2020年中国容器云市场研究报告——艾瑞云原生系列报告(一)

[4] 2020年中国DevOps应用发展研究——艾瑞云原生系列报告(二)

[5] 60% of Organizations Suffered a Container Security Incident in 2018, Finds Study

相关实践学习
Docker镜像管理快速入门
本教程将介绍如何使用Docker构建镜像,并通过阿里云镜像服务分发到ECS服务器,运行该镜像。
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
相关文章
|
10月前
|
Prometheus Kubernetes 监控
OpenAI故障复盘 - 阿里云容器服务与可观测产品如何保障大规模K8s集群稳定性
聚焦近日OpenAI的大规模K8s集群故障,介绍阿里云容器服务与可观测团队在大规模K8s场景下我们的建设与沉淀。以及分享对类似故障问题的应对方案:包括在K8s和Prometheus的高可用架构设计方面、事前事后的稳定性保障体系方面。
|
敏捷开发 Kubernetes 测试技术
阿里云云效产品使用问题之 拉取阿里云acr仓库的镜像时,配置内网地址还是公网地址
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
9月前
|
监控 安全 Cloud Native
阿里云容器服务&云安全中心团队荣获信通院“云原生安全标杆案例”奖
2024年12月24日,阿里云容器服务团队与云安全中心团队获得中国信息通信研究院「云原生安全标杆案例」奖。
|
10月前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
本文基于2024云栖大会演讲,探讨了软件供应链攻击的快速增长趋势及对企业安全的挑战。文中介绍了如何利用阿里云容器服务ACK、ACR和ASM构建云原生软件供应链安全,涵盖容器镜像的可信生产、管理和分发,以及服务网格ASM实现应用无感的零信任安全,确保企业在软件开发和部署过程中的安全性。
|
10月前
|
安全 虚拟化 异构计算
GPU安全容器面临的问题和挑战
本次分享由阿里云智能集团弹性计算高级技术专家李亮主讲,聚焦GPU安全容器面临的问题与挑战。内容分为五个部分:首先介绍GPU安全容器的背景及其优势;其次从安全、成本和性能三个维度探讨实践中遇到的问题及应对方案;最后分享GPU安全容器带状态迁移的技术路径与应用场景。在安全方面,重点解决GPU MMIO攻击问题;在成本上,优化虚拟化引入的内存开销;在性能上,提升P2P通信和GPU Direct的效率。带状态迁移则探讨了CRIU、Hibernate及VM迁移等技术的应用前景。
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
针对软件供应链的攻击事件在以每年三位数的速度激增,其中三方或开源软件已经成为攻击者关注的重要目标,其攻击方式和技术也在不断演进。通过供应链的传播,一个底层软件包的漏洞的影响范围可以波及世界。企业亟需更加标准和完善的供应链风险洞察和防护机制。本文将结合最佳实践的形式,面向容器应用完整的生命周期展示如何基于容器服务ACK/ACR/ASM助力企业构建云原生软件供应链安全。
|
云安全 安全 Serverless
Serverless 安全新杀器:云安全中心护航容器安全
Serverless 安全防护能力除了支持目前既定的等保合规(漏洞扫描、入侵检测、基线检测等)、安全隔离的能力外还支持 WAF 防火墙、支持通信加密、操作审计、权限管控等能力,也正是有了这些能力的加持,SAE 才能很好的服务了金融、政企、医疗等行业的客户;Serverless(SAE)未来还计划规划更多安全能力为企业保驾护航,包括:代码安全扫描、加密、堡垒机、最小权限、身份与访问管理、以及更多的攻击防护等能力的建设。
|
安全 算法 Java
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
这篇文章讨论了Java集合类的线程安全性,列举了线程不安全的集合类(如HashSet、ArrayList、HashMap)和线程安全的集合类(如Vector、Hashtable),同时介绍了Java 5之后提供的java.util.concurrent包中的高效并发集合类,如ConcurrentHashMap和CopyOnWriteArrayList。
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
|
运维 安全 Cloud Native
"揭秘!Trivy——云原生时代的隐形安全侠,一键扫描,让容器镜像漏洞无所遁形,守护你的云端帝国坚不可摧!"
【8月更文挑战第14天】在云原生时代,容器技术如Docker与Kubernetes大放异彩,加速了应用部署。但容器化的普及也带来了安全挑战,尤其是镜像的安全性至关重要。Trivy,一款高效且轻量级的镜像安全扫描工具应运而生,成为开发者与运维人员的得力助手。它由Aqua Security开发,支持一键式全面扫描,能快速检测镜像中的漏洞与配置风险,并提供修复建议。Trivy采用Go语言编写,轻巧高效,支持多平台,并可轻松集成到CI/CD流程中,确保只有安全的镜像才能部署到生产环境。无论新手还是专家,Trivy都是构建安全可靠云环境的理想选择。
263 2
|
机器学习/深度学习 人工智能 安全
产品推荐:7月受欢迎AI容器镜像来了,有Qwen系列大模型镜像
阿里云 AI 容器镜像有开箱即用、生态丰富、性能优化、安全合规和服务支持五大优势。

相关产品

  • 容器镜像服务