Ansichten:
Profilanwendbarkeit: Stufe 2 - Cluster / Steuerungsebene
Scannen Sie Bilder, die in Amazon EKS bereitgestellt werden, auf Schwachstellen, um das Risiko einer Ausnutzung durch Hacker oder bösartige Benutzer zu mindern, die Sicherheitslücken in Softwarepaketen ausnutzen könnten, um unbefugten Zugriff auf lokale Cloud-Ressourcen zu erlangen. Amazon Elastic Container Registry (ECR) und andere Drittanbieterprodukte bieten Funktionen zur Schwachstellensuche in Bildern. Bei der Verwendung von AWS ECR können bestimmte häufige Bildscanfehler auftreten. Beispielsweise kann ein UnsupportedImageError auftreten, wenn das Bild mit einem nicht unterstützten Betriebssystem erstellt wurde, da Amazon ECR die Schwachstellensuche nur für Hauptversionen bestimmter Linux-Distributionen wie Amazon Linux, Debian, Ubuntu, CentOS, Oracle Linux, Alpine und RHEL unterstützt. Darüber hinaus können Scanergebnisse einen Schweregrad von UNDEFINED zurückgeben, wenn die CVE-Quelle keine Priorität zugewiesen hat oder wenn es sich um eine Priorität handelt, die Amazon ECR nicht erkennt. Um den Schweregrad und die Details einer Sicherheitslücke genau zu bewerten, kann die CVE direkt von der Quelle eingesehen werden.

Auswirkung

Wenn Sie AWS ECR verwenden, können häufige Bilddurchsuchungsfehler auftreten. Fehler können in der Amazon ECR-Konsole oder über die API oder AWS CLI mit der DescribeImageScanFindings-API eingesehen werden.
UnsupportedImageError: Dieser Fehler kann auftreten, wenn versucht wird, ein Image zu durchsuchen, das auf einem nicht unterstützten Betriebssystem basiert. Amazon ECR unterstützt die Schwachstellensuche für Hauptversionen von Amazon Linux, Debian, Ubuntu und anderen Distributionen, jedoch nicht für Images, die aus dem Docker-Scratch-Image erstellt wurden.
Nicht definierter Schweregrad: Dies kann auftreten, wenn die Sicherheitslücke nicht von der CVE-Quelle priorisiert oder von Amazon ECR erkannt wird.

Prüfung

Bitte befolgen Sie die Richtlinien von AWS ECR oder Ihrem Drittanbieter, um die Bildüberprüfung zu aktivieren.
aws ecr describe-repositories --repository-names $REPO_NAME --region $REGION_CODE

Wiederherstellung

Um AWS ECR für das Scannen von Images zu nutzen, folgen Sie diesen Schritten:
Erstellen Sie ein Repository, das für das Durchsuchen bei Push konfiguriert ist (AWS CLI):
aws ecr create-repository --repository-name $REPO_NAME --image-scanning-configuration scanOnPush=true --region $REGION_CODE
Bearbeiten Sie die Einstellungen eines vorhandenen Repositorys (AWS CLI):
aws ecr put-image-scanning-configuration --repository-name $REPO_NAME --image-scanning-configuration scanOnPush=true --region $REGION_CODE
Verwenden Sie die folgenden Schritte, um einen manuellen Bilddurchlauf mit der AWS Management Console zu starten:
  1. Öffnen Sie die Amazon ECR-Konsole.
  2. Wählen Sie in der Navigationsleiste die Region für Ihr Repository aus.
  3. Wählen Sie im Navigationsbereich Repositories aus.
  4. Auf der Seite "Repositories" wählen Sie das Repository aus, das das Image enthält.
  5. Wählen Sie auf der Seite Bilder das Bild aus, das Sie durchsuchen möchten, und wählen Sie dann Durchsuchen.