零容忍!保护你的容器环境免受镜像漏洞威胁!

已于 2023-08-14 12:13:18 修改
阅读量52 收藏
点赞数
文章标签: 云原生 网络安全 容器 安全
于 2023-08-14 12:11:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742792/article/details/132273328
版权

在这里插入图片描述

牧云·云原生安全平台 是长亭牧云团队以开源社区为生态载体技术积累为驱动所打造的云原生安全平台。
引用
本文将介绍如何使用牧云·云原生安全平台进行镜像漏洞扫描。

介绍:

牧云·云原生安全平台提供自研的漏洞检测引擎,能够对镜像中的各类漏洞进行多维度的安全检测并提供修复方案,避免引发严重的安全风险。

漏洞扫描功能提供了对于关键漏洞的高强度扫描能力。通过持续追踪 10 年内的发生在全球的重大安全事件,进而提炼出严重程度高、影响范围大的百余个漏洞,形成自研且持续更新的专属漏洞库,使用环境分析、补丁分析、版本匹配、动态验证等检测方式,为这些漏洞编写了高质量的专项检测规则,全面提升了对于关键漏洞检测的全面性和准确性。

同时,牧云·云原生安全平台对关键漏洞进行了特殊标识,在全面覆盖全量漏洞检测时也提供核心的关键漏洞事件,使用者可以对关键漏洞进行紧急修复,解决面对大量漏洞事件不知从何下手的普遍问题。

使用前的准备工作:

思维导图入下:
在这里插入图片描述

1、在进行镜像漏洞的扫描之前,我们需要先区分扫描对象是什么?

镜像漏洞扫描对象分为本地镜像和仓库镜像。本地镜像分为集群环境和非集群环境,集群环境在进行资产清点前还需要先集成集群装探针,非集群环境直接安装探针即可。仓库镜像需要先安装旁路探针再集成仓库资源。具体步骤请参考:

牧云·云原生安全平台使用手册:集群资产清点
牧云·云原生安全平台使用手册:镜像/容器/Web资产清点
牧云·云原生安全平台使用手册:应用软件资产清点

2、在安装好旁路探针以及集成好仓库资源之后就需要我们创建任务计划了:

创建任务计划

任务计划
任务计划功能主要用于向扫描探针下发安全扫描任务,创建具体任务计划后,平台将具体任务下发到对应的扫描探针,扫描探针执行扫描任务并向平台上报安全事件,平台获取结果并展示。

点击 /管理中心/任务计划 进入任务计划页面,点击右上角按钮 「创建任务计划」。本文只介绍本地镜像、仓库镜像、集群镜像的任务计划创建,其他的任务类型之后文章会有详细介绍。
在这里插入图片描述

本地镜像
如果是本地镜像,创建任务计划时需要填写任务计划参数,选择好主机扫描范围、镜像范围、指定插件和执行周期即创建完成。

仓库镜像
如果是仓库镜像,创建任务计划时需要填写对应的任务计划参数,选择好仓库扫描范围、镜像范围、指定插件和执行周期即创建完成。

集群镜像
如果是集群镜像,创建任务计划时需要填写对应的任务计划参数,选择好集群扫描范围、镜像范围、指定插件和执行周期即创建完成。

其中任务计划参数需要注意的是:

镜像范围
在这里插入图片描述

上传范围文件

  • 文件内容需保证每行仅包含一条镜像数据
  • 建议每条镜像数据不包含tag,并以换行符结束
    可参考下图示例:
    在这里插入图片描述

操作
在这里插入图片描述

任务状态

  1. 等待执行:任务尚未下发到任务队列中,正在等待下一次执行时间

  2. 队列中:任务已下发,正在任务队列中等在执行

  3. 正在执行:任务正在执行中

  4. 执行成功:即代表此任务计划已全部执行成功

  5. 执行失败:即代表此任务计划执行失败

  6. 失效:当探针范围选择的探针从平台删除或仓库范围选择的仓库从平台删除
    在这里插入图片描述

使用指引:

任务成功执行后我们就可以前往查看镜像漏洞事件数据啦。
1、点击 /镜像安全/关键漏洞 进入关键漏洞页面,此页面列表展示扫描计划进行安全扫描后发现的所有关键漏洞事件结果详情,您需要对此页面的漏洞事件进行紧急修复。

2、您可以通过切换 关键漏洞/全量漏洞 列表、镜像视角/事件视角 进行查看筛选与统计,依据漏洞对业务危害程度,参考官方 CVE、CNVD、CNNVD 标准定级,漏洞分为严重、高危、中危、低危、无风险五个等级。

3、单击漏洞名称可进入事件详情页面,事件详情包括三大模块:漏洞信息、镜像信息、影响面,全面多维度分析漏洞来源并提供参考依据与修复建议。

4、列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。

  • 有风险:默认标识,系统默认为所有上报的安全事件标记为有风险状态;

  • 确认中:当我们查看了事件详情有了下一步判断后,可以将此事件标记为确认中状态;

  • 已解决:当我们收到业务方反馈此问题已修复后,我们可以将此事件标记为已解决状态;

  • 误报:当我们发现漏洞指纹匹配有误时,可以将此事件标记为误报状态;

  • 忽略:当我们任务此条事件数据无需关注时,可以将此事件标记为忽略状态;

列表右上方提供事件数据导出按钮,支持一键导出所有事件数据。
在这里插入图片描述
在这里插入图片描述

关于我们

牧云·云原生安全平台 是长亭牧云团队以开源社区为生态载体技术积累为驱动所打造的云原生安全平台。首创双模探针架构,可选用 Agentless/Agent 多种方案进行部署,覆盖制品、运行时、集群全流程安全,开箱即用、快速实施、成本极低、自动升级、无需维护、无缝集成,让用户能够轻装上阵,轻松解决云原生安全问题。

平台地址: https://rivers.chaitin.cn/?share=c45f116831a211ee89640242c0a81709

问脉团队·VeinMind
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker 容器逃逸漏洞 (CVE-2020-15257)
12-26 2万+
漏洞简述: 当在docker使用–net=host参数启动,与宿主机共享net namespace时,容器中的攻击者可以绕过访问权限访问 containerd 的控制API 进而导致权限提升。 漏洞利用: (1)安装有漏洞的containerd版本,影响版本containerd< 1.3.9&&containerd < 1.4.3 #列出仓库中可用的版本,安...
容器安全产品
悦分享
07-04 747
概述近两年,随着容器技术越来越多的被大家所青睐,容器安全也逐渐得到了广泛的关注和重视。NeuVector、Aqua、Twistlock等初创公司,陆续的推出了其容器安全的产品和解决方案。在国内,以绿盟科技为代表的安全厂商,也不断的在容器安全领域进行探索和尝试。对于容器环境,或者是容器云,其本质是云计算的一种实现方式,我们可以将其称为PaaS或者CaaS。因此,其整体的安全建设思路,是遵循云计算安全架构的。容器环境安全建设,如果暂时抛开物理安全的话,可以粗略分为两个主要方面:一方面是容器云内部的安全建设,
Docker容器安全漏洞管理与测试
网络研究观
01-13 3578
随着容器技术的发展,了解新兴安全趋势并采用最佳实践对于旨在构建和维护安全容器环境的组织至关重要
Docker与容器安全漏洞扫描安全策略
晓晓的天空
12-23 2484
容器安全是现代应用程序开发和部署的重要组成部分。通过漏洞扫描、制定安全策略、采取安全措施、定期更新镜像漏洞管理,可以保护Docker容器和应用程序免受潜在的威胁
容器安全防线】Docker攻击方式与防范技术探究
郊眠寺
07-22 226
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
问脉首创旁路云原生安全检测框架!
weixin_43742792的博客
09-27 993
本次 v1.3.0 更新为问脉的里程碑版本!我们全新推出长亭首创的云原生安全检测框架 — — 旁路检测,首推侵入探针,打破传统的容器安全产品必须在业务节点上安装探针的限制,采用 Agentless 方案进行部署,保证业务节点实现严格意义上的侵入检测!同时,我们提升了镜像仓库的检测能力并再次降低运维成本,旨在给大家提供入侵及高效的产品体验!
Kubernetes生产环境最佳实践17条
力哥讲技术
04-23 390
Kubernetes是一种流行的容器编排工具,但在生产环境中部署和管理Kubernetes可能会面临一些挑战。为了确保生产环境的高可用性、可伸缩性和安全性,需要遵循一些最佳实践。这些实践包括使用合适的硬件和网络基础设施、使用可靠的存储和备份策略、进行监控和日志记录、使用适当的安全措施以及实施自动化和持续集成/持续交付流程。遵循这些最佳实践将有助于确保Kubernetes在生产环境中的稳定性和可靠性。
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
|~~~热爱生活、努力学习的小伙汁~~~|
06-15 304
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
阿里Java面经大全(整合版)
热门推荐
Java技术江湖
08-03 4万+
&amp;amp;amp;nbsp; &amp;amp;amp;nbsp; &amp;amp;amp;nbsp; 阿里巴巴,三面,java实习 昨天晚上11点打电话来,问我可以面试不,我说不可以,然后就约到了今天, 1.上来问我项目用的框架,然后问我springmvc里面有的参数的设定,问的是细节,然后问我如果传的多个值是一个对象的属性,问我如何处理,我说直接在后端接收为对象就行了,然后突然问我http怎么传对象,这里有点不明白面试官想问啥,然后就换别的问题了, ...
rkt.rar_Raid!
09-23
4. **RAID 6**:类似RAID 5,但有两个奇偶校验块,能容忍两块磁盘同时故障。 5. **RAID 10/1+0**:镜像和条带化组合,提供了冗余和性能,但成本高。 6. **RAID 50/5+0** 和 **RAID 60/6+0**:类似RAID 10,但使用...
sa.rar_Raid!
09-14
- RAID 6:类似于RAID 5,但增加了第二个奇偶校验块,能容忍两块硬盘同时故障。 - RAID 10:也称作RAID 1+0,结合了RAID 1的镜像和RAID 0的条带化,提供了高性能和高冗余,但成本较高。 Adaptec AAC系列RAID控制器...
raid.rar_Raid!_raid
09-23
RAID,全称为“独立磁盘冗余阵列”(Redundant ...然而,随着技术的发展,RAID 5在大容量存储场景下逐渐被RAID 6取代,因为RAID 6增加了第二个奇偶校验块,能够容忍两块硬盘同时故障,为更高的数据安全性提供了保障。
linux_raid.rar_Raid!_volume_id
09-24
4. **RAID 6**:RAID 5的扩展,提供了两组独立的奇偶校验信息,能够容忍两块硬盘同时故障。 5. **RAID 10**:也称镜像条集,结合了RAID 0的性能和RAID 1的数据安全,但成本较高。 "volume_id"工具在Linux中扮演着...
go.rar_Go_ Go_ Go!
09-14
UDP(User Datagram Protocol)是一种无连接的、不可靠的传输层协议,常用于需要快速传输数据但可以容忍少量数据丢失的场景。在围棋游戏中,使用UDP可能是因为它比TCP(Transmission Control Protocol)更快,更适用...
云原生】Kubernetes之持久化
weixin_73059729的博客
07-05 1285
emptyDir是一个临时存储卷,与Pod的声明周期绑定在一起,如果Pod被删除了,这意味着数据也被随之删除。hostPath Volume是指Pod挂载宿主机上的目录或文件。hostPath Volume使得容器可以使用宿主机的文件系统进行存储,hostpath(宿主机路径):节点级别的存储卷,在Pod被删除,这个存储卷还是存在的,不会被删除,所以只要同一个Pod被调度到同一个节点上来,在Pod被删除重新被调度到这个节点之后,对应的数据依然存在的。
云原生监控-Kubernetes-Promethues-Grafana
zy_xingdian的博客
07-08 411
本文章所涉及到技术点包括Prometheus、Grafana、Kubernetes;Prometheus基于外部构建采集并监控Kubernetes集群以及集群中的应用,例如使用mysql-node-exporter、nginx-node-exporter采集Kuebrnetes集群中的应用数据,使用node-exporter、kube-state-metrics等采集Kubernetes集群数据,使用promql对数据进行查询分析;最终实现在Grafana中展示及配置告警以通知策略配置邮件方式通知
云原生存储:使用MinIO与Spring整合
最新发布
weixin_53840353的博客
07-09 620
MinIO是一个开源的对象存储服务器,它提供了与Amazon S3兼容的API。MinIO的设计目标是提供高性能和可扩展性,使其成为云原生应用的理想选择。MinIO可以部署在物理服务器、虚拟机、容器以及Kubernetes集群中。通过本文的介绍和代码示例,你应该能够在Spring Boot应用中成功整合MinIO,并实现文件的上传和下载功能。MinIO的高性能和与S3兼容的API使其成为云原生应用存储解决方案的优秀选择。希望这些内容对你有所帮助,祝你在云原生应用开发中取得成功!
云原生】Kubernetes部署高可用平台手册
weixin_73059729的博客
07-06 931
超级详细的Kubernetes部署高可用平台手册。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值