5.1.1 - Sicherstellen der Schwachstellensuche für Images mithilfe der Amazon ECR-Bildüberprüfung oder eines Drittanbieters (Automatisiert)

Ansichten:

Profilanwendbarkeit: Stufe 1

Bilder, die auf Amazon EKS bereitgestellt werden, auf Schwachstellen DURCHSUCHEN.

Schwachstellen in Softwarepaketen können von Hackern oder bösartigen Benutzern ausgenutzt werden, um unbefugten Zugriff auf lokale Cloud-Ressourcen zu erhalten. Amazon ECR und andere Produkte von Drittanbietern ermöglichen das Scannen von Bildern auf bekannte Schwachstellen.

Hinweis

Bilder werden standardmäßig nicht gescannt.

Auswirkung

Wenn Sie AWS ECR verwenden

Die folgenden sind häufige Fehler bei der Bilddurchsuchung. Sie können solche Fehler in der Amazon ECR-Konsole anzeigen, indem Sie die Bilddetails anzeigen oder über die API oder AWS CLI mit der DescribeImageScanFindings API.

Sie könnten einen UnsupportedImageError Fehler erhalten, wenn Sie versuchen, ein Image zu durchsuchen, das mit einem Betriebssystem erstellt wurde, für das Amazon ECR keine Bilddurchsuchung unterstützt. Amazon ECR unterstützt die Schwachstellensuche für Hauptversionen von Amazon Linux, Amazon Linux 2, Debian, Ubuntu, CentOS, Oracle Linux, Alpine und RHEL Linux-Distributionen. Amazon ECR unterstützt nicht das Durchsuchen von Images, die aus dem Docker-Scratch-Image erstellt wurden.
Ein Schweregrad UNDEFINED wird zurückgegeben. Sie können einen DURCHSUCHEN-Befund erhalten, der einen Schweregrad von UNDEFINED aufweist. Die folgenden sind die häufigsten Ursachen dafür:
- Der Sicherheitslücke wurde von der CVE-Quelle keine Priorität zugewiesen.
- Der Sicherheitslücke wurde eine Priorität zugewiesen, die von Amazon ECR nicht erkannt wurde.

Um die Schwere und Beschreibung einer Sicherheitslücke zu bestimmen, können Sie die CVE direkt aus der Quelle einsehen.

Prüfung

Bitte befolgen Sie die Richtlinien von AWS ECS oder Ihrem Drittanbieter-Bildscananbieter, um die Bildscannung zu aktivieren.

aws ecr describe-repositories --repository-names $REPO_NAME --region $REGION_CODE

Wiederherstellung

Um AWS ECR für das Scannen von Images zu nutzen, befolgen Sie bitte die folgenden Schritte.

Um ein Repository zu erstellen, das für das Durchsuchen beim Push konfiguriert ist (AWS CLI):

aws ecr create-repository --repository-name $REPO_NAME --image-scanning-
configuration scanOnPush=true --region $REGION_CODE

Um die Einstellungen eines bestehenden Repositorys zu bearbeiten (AWS CLI):

aws ecr put-image-scanning-configuration --repository-name $REPO_NAME --
image-scanning-configuration scanOnPush=true --region $REGION_CODE

Verwenden Sie die folgenden Schritte, um einen manuellen Bild-Durchsuchung mit der AWS Management Console zu starten.

Öffnen Sie die Amazon ECR-Konsole.
Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihr Repository erstellen möchten.
Im Navigationsbereich wählen Sie Repositories aus.
On the Repositories page, choose the repository that contains the image to scan.
Auf der Seite Bilder wählen Sie das Bild aus, das Sie durchsuchen möchten, und wählen Sie dann Durchsuchen.