近期 Spring 缝隙等高危缝隙频发,为协助用户更好地发现及下降镜像中的安全隐患,减少生产环境潜在安全危险,在 2022 年 4 月 1 日 00:00 – 2022 年 4 月 15 日 24:00 期间,阿里云容器镜像服务企业版(ACR EE) 支撑免费试用体验云安全扫描引擎。 支撑不同镜像版本 1 万次扫描额度(以镜像 Digest 区别,相同 Digest 不限次扫描)。假如您当前企业版实例未默许敞开运用,能够提工单(地址:selfservice.console.aliyun.com/ticket/cate… ACR EE 与云安全深度协作供给,全面支撑扫描容器镜像中的体系缝隙、运用缝隙、基线检查、歹意样本,供给继续的危险发现才能及主动修正才能。

容器安全重要性

随着企业上云率不断提高,越来越多的企业挑选在生产环境中运用容器架构。基于 CNCF 2020 年发布的陈述[1]中显现,在生产中运用容器的企业份额从去年的 84% 增长到 2021 年的 92%。Gartner 猜测[2] 2025 年 95% 的企业将基于云原生渠道。艾瑞咨询在《我国容器云商场研讨陈述》中显现,2020 年有 84.7%[3](43.9% 现已运用,40.8%计划运用)的我国企业现已或计划运用容器。相同,软件开发内生安全性将成为评价企业 DevOps 成熟度水平的重要指标,在实践了DevOps的团队中,48%[4]最看重 Security 特性。

但是由于容器运用具有的灵敏弹性、高密度布置、开放复用,让用户在享用云原生盈利的一起,也产生了较大的安全担忧。Tripwire 2019 年对 311 位 IT 安全专业人员进行了调研,发现 60% 的安排都遭遇过容器安全事故[5] ,不管是 Kubernetes 集群被侵入事情还是 Docker Hub 频繁被爆含有缝隙和歹意程序的镜像,让越来越多的企业开始重视容器安全的最佳实践。

阿里云容器镜像服务企业版

阿里云容器镜像服务企业版(简称 ACR EE)是一个企业级的云原生运用制品管理渠道,供给容器镜像、Helm Chart 等 OCI 制品安全保管和高效分发才能。在 DevSecOps 场景中,企业客户能够运用 ACR 云原生运用交给链,完结高效安全的云原生运用交给,加速企业的立异迭代。在全球多地域协作、事务出海、GoChina 场景,企业客户能够运用全球同步成才能,一起结合全球统一域名完结就近拉取,提高分发运维功率。在大规模分发、AI 大镜像训练推理场景,企业能够运用 ACR P2P 分发或按需分发才能,进一步提高布置迭代功率。检查概况:www.aliyun.com/product/acr

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

什么是增强型扫描引擎?

增强型扫描引擎由 ACR EE 和云安全中心深度协作供给,扫描才能相较于现在盛行的开源扫描引擎版本(Clair等),供给了更精准的缝隙筛选才能(一切缝隙均通过专业团队安全运营,保证有效性,大幅下降误报率)。一起 ACR EE 供给了批量扫描主动扫描的才能,支撑命名空间和库房不同粒度的扫描规模,能够针对不同场景诉求供给主动化、规模化扫描支撑。此外 ACR EE 供给了事情告诉才能,支撑和客户现有的 DevOps 流程做集成。

现在扫描引擎支撑的扫描危险类型如下:

• 体系缝隙: 支撑常见主流操作体系的缝隙辨认,并支撑一键修正。例如Linux内核缝隙、不安全的体系软件包、不安全的Java SDK等。

• 运用缝隙: 供给镜像运用缝隙扫描功用,为您扫描容器相关中间件上的缝隙,支撑包括体系服务弱口令、体系服务缝隙、运用服务缝隙的检测。例如fastjson长途代码履行缝隙、Apache Log4j2长途代码履行缝隙、Spring Framework长途代码履行缝隙、Apache Hadoop 信息走漏缝隙、Apache Tomcat信息走漏缝隙等。

• 基线检查: 供给镜像安全基线检查功用,为您扫描容器资产中存在的基线安全危险,支撑操作体系和服务(数据库、服务器软件、容器等)的弱口令、账号权限、身份鉴别、暗码战略、访问操控、安全审计和入侵防范等安全装备,并供给检测成果,针对存在的危险装备给出加固建议。例如Access Key泄漏、未授权访问、服务装备等。

• 歹意样本: 供给容器歹意样本的检测才能,为您展示资产中存在的容器安全要挟,协助您找到存在歹意样本的方位,便于您依据方位修正歹意样本,大幅下降您运用容器的安全危险。例如发现后门(Webshell)文件、自变异木马、后门程序等。

如何启用增强型扫描引擎?

  1. 在企业版实例管理页面挑选安全可信 > 镜像扫描,点击右上角的切换按钮,将扫描引擎切换到云安全扫描引擎。如下图所示: .

    【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

  2. 在镜像扫描页面创立扫描规矩,现在支撑命名空间和库房等级的扫描规矩的主动扫描。也能够挑选手动触发扫描,针对规矩规模下的存量镜像进行全量危险辨认。引荐您装备扫描事情告诉,在镜像扫描完结后以钉钉、HTTP 或者 HTTPS 方法将扫描成果进行同步。

  3. 创立完扫描规矩后,点击当即扫描,检查扫描任务状况及最终的危险状况。

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

  1. 点击检查概况,从体系缝隙、运用缝隙、基线检查、歹意样本多个维度承认容器镜像的安全危险。如下图所示,能够看到镜像中包含的近期 Spring 等高危缝隙已被分析辨认出来。

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

  1. 一起装备的钉钉机器人也收到相应告诉报警(也支撑 HTTP/HTTPS 等方法进行告诉)。

云原生运用交给链助力企业完结 DevSecOps

ACR EE 除了支撑容器镜像的深度危险辨认与修正,还供给了云原生运用交给链才能,支撑灵活的安全战略保障制品更安全、高效交给上线。一起云原生运用交给链中的各个环节也能够被您的 CI/CD 流程(如 Jenkins Pipeline、GitLab Runner 等)集成运用。

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

1.晋级企业版实例标准为高档版,在实例概览页点击云原生交给链 > 交给链, 点击创立交给链。在安全扫描节点,设置当出现一个高危缝隙后,阻断容器镜像的后续交给,可选删去原始危险镜像或备份。

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

2.在交给链作用规模内,主动推送一个带有高危危险的容器镜像,会主动触发安全扫描并履行安全战略,阻断危险镜像布置。

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

  1. 假如镜像存在体系缝隙,能够在交给链阻断之后进行一键修正

• 交给链被阻断

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

• 勾选一切危险项,点击一键修正

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

• 等候镜像修正完结,默许修正完结后会构建出 tag 以 _fixed 结尾的新镜像并从头触发交给链履行

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

• 能够观察到修正后镜像通过安全扫描后现已没有之前的缝隙,并且交给链也顺利履行完结,一起在镜像版本页面也能够看到原镜像和修正镜像的危险状况对比

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

附录

[1]Cloud Native Survey 2020 www.cncf.io/blog/2020/1…

[2]Gartner:云将成为新数字体验的核心 www.gartner.com/cn/newsroom…

[3]2020 年我国容器云商场研讨陈述——艾瑞云原生系列陈述(一) www.iresearch.com.cn/Detail/repo…

[4]2020年我国 DevOps 运用发展研讨——艾瑞云原生系列陈述(二) www.iresearch.com.cn/Detail/repo…

[5] 60% of Organizations Suffered a Container Security Incident in 2018, Finds Study www.tripwire.com/state-of-se… 发布云原生技能最新资讯、聚集云原生技能最全内容,定期举行云原生活动、直播,阿里产品及用户最佳实践发布。与你并肩探究云原生技能点滴,共享你需要的云原生内容。

重视【阿里巴巴云原生】公众号,获取更多云原生实时资讯!