設定檔適用性:等級 2 - 叢集 / 控制平面
掃瞄部署到 Amazon EKS 的映像檔以檢測弱點,從而減少駭客或惡意使用者利用軟體包弱點獲取未經授權的本地雲端資源存取的風險。Amazon Elastic Container
Registry (ECR) 和其他第三方產品提供掃瞄映像檔以檢測已知弱點的功能。在使用 AWS ECR 的情況下,可能會發生某些常見的映像檔掃瞄失敗。例如,如果映像檔是使用不支援的作業系統構建的,可能會出現
UnsupportedImageError,因為 Amazon ECR 僅支援特定 Linux 發行版的主要版本的套件弱點掃瞄,如 Amazon Linux、Debian、Ubuntu、CentOS、Oracle
Linux、Alpine 和 RHEL。此外,如果 CVE 來源尚未分配優先級或是 Amazon ECR 無法識別的優先級,掃瞄結果可能會返回 UNDEFINED
的嚴重性等級。要準確評估弱點的嚴重性和詳細資訊,可以直接從來源查看 CVE。
影響
如果您正在使用 AWS ECR,常見的映像掃瞄失敗可能會發生。錯誤可以在 Amazon ECR 控制台中查看,或者通過 API 或 AWS CLI 使用 DescribeImageScanFindings
API 查看。
UnsupportedImageError: 當嘗試掃瞄基於不支援的作業系統構建的映像時,可能會出現此錯誤。Amazon ECR 支援對 Amazon Linux、Debian、Ubuntu
和其他發行版的主要版本進行弱點掃瞄,但不支援從 Docker scratch 映像構建的映像。
未定義的嚴重性等級:這可能發生在弱點未被 CVE 來源優先處理或未被 Amazon ECR 認可時。
稽核
請遵循 AWS ECR 或您第三方供應商的指南來啟用映像掃描。
aws ecr describe-repositories --repository-names $REPO_NAME --region $REGION_CODE
補救措施
要使用 AWS ECR 進行映像掃描,請按照以下步驟操作:
建立一個配置為推送時掃瞄的儲存庫 (AWS CLI):
aws ecr create-repository --repository-name $REPO_NAME --image-scanning-configuration scanOnPush=true --region $REGION_CODE
編輯現有存儲庫的設定 (AWS CLI):
aws ecr put-image-scanning-configuration --repository-name $REPO_NAME --image-scanning-configuration scanOnPush=true --region $REGION_CODE
使用以下步驟透過 AWS 管理控制台開始手動影像掃瞄:
-
開啟 Amazon ECR 主控台。
-
從導航欄中選擇您存儲庫的區域。
-
在導航窗格中,選擇儲存庫。
-
在儲存庫頁面上,選擇包含映像檔的儲存庫。
-
在圖片頁面上,選擇要掃瞄的圖片,然後選擇掃瞄。