プロファイル適用性: レベル1
Amazon EKSにデプロイされるイメージを脆弱性について検索します。
ソフトウェアパッケージの脆弱性は、ハッカーや悪意のあるユーザによって悪用され、ローカルクラウドリソースへの不正アクセスを取得される可能性があります。Amazon ECRや他のサードパーティ製品は、既知の脆弱性をスキャンするためにイメージを許可します。
 |
注意デフォルトでは検索されないイメージ。
|
影響
AWS ECRを利用している場合
以下は一般的な画像検索の失敗です。このようなエラーは、Amazon ECRコンソールで画像の詳細を表示するか、
DescribeImageScanFindingsAPIを使用してAPIまたはAWS CLIを通じて確認できます。-
Amazon ECRが画像検索をサポートしていないOSを使用して構築された画像を検索しようとすると、
UnsupportedImageErrorエラーが発生する可能性があります。Amazon ECRは、Amazon Linux、Amazon Linux 2、Debian、Ubuntu、Centos、Oracle Linux、Alpine、RHEL Linuxディストリビューションの主要バージョンに対するパッケージ脆弱性検索をサポートしています。Amazon ECRは、Dockerのscratch画像から構築された画像の検索をサポートしていません。 -
UNDEFINEDの重大度レベルが返されます。UNDEFINEDの重大度レベルを持つ検索結果を受け取ることがあります。これには以下のような一般的な原因があります。-
この脆弱性はCVEソースによって優先度が割り当てられていませんでした。
-
この脆弱性には、Amazon ECRが認識しなかった優先度が割り当てられました。
-
脆弱性の重大度と説明を判断するには、ソースから直接CVEを確認できます。
監査
イメージスキャンを有効にするには、AWS ECSまたはサードパーティのイメージスキャンプロバイダのガイドラインに従ってください。
aws ecr describe-repositories --repository-names $REPO_NAME --region $REGION_CODE
修復
AWS ECRを利用してイメージ検索を行うには、以下の手順に従ってください。プッシュ時の検索に設定されたリポジトリを作成するには (AWS CLI):
aws ecr create-repository --repository-name $REPO_NAME --image-scanning- configuration scanOnPush=true --region $REGION_CODE
既存のリポジトリの設定を編集する (AWS CLI):
aws ecr put-image-scanning-configuration --repository-name $REPO_NAME -- image-scanning-configuration scanOnPush=true --region $REGION_CODE
以下の手順に従って、AWS Management Consoleを使用して手動でイメージ検索を開始します。
-
https://console.aws.amazon.com/ecr/repositoriesでAmazon ECRコンソールを開きます。
-
ナビゲーションバーから、リポジトリを作成するリージョンを選択してください。
-
ナビゲーションペインで、リポジトリを選択します。
-
リポジトリページで、検索するイメージを含むリポジトリを選択します。
-
画像ページで検索する画像を選択し、検索を選択してください。