プロファイル適用性: レベル1
Amazon EKSにデプロイされるイメージを脆弱性のために検索します。
ソフトウェアパッケージの脆弱性は、ハッカーや悪意のあるユーザによって悪用され、ローカルクラウドリソースへの不正アクセスを取得される可能性があります。Amazon ECRや他のサードパーティ製品は、既知の脆弱性をスキャンするためのイメージを提供します。
 |
注意デフォルトではイメージは検索されません。
|
影響
AWS ECRを利用している場合
以下は一般的なイメージ検索の失敗です。このようなエラーは、Amazon ECRコンソールでイメージの詳細を表示するか、
DescribeImageScanFindingsAPIを使用してAPIまたはAWS CLIを通じて表示できます。-
Amazon ECRが画像検索をサポートしていないOSを使用してビルドされた画像を検索しようとすると、
UnsupportedImageErrorエラーが発生する可能性があります。Amazon ECRは、Amazon Linux、Amazon Linux 2、Debian、Ubuntu、CentOS、Oracle Linux、Alpine、およびRHEL Linuxディストリビューションの主要バージョンのパッケージ脆弱性検索をサポートしています。Amazon ECRは、Dockerのscratchイメージからビルドされた画像の検索をサポートしていません。 -
UNDEFINEDの重大度レベルが返されます。UNDEFINEDの重大度レベルを持つ検索結果を受け取ることがあります。以下はその一般的な原因です。-
脆弱性にはCVEソースによって優先順位が割り当てられていませんでした。
-
脆弱性にはAmazon ECRが認識しなかった優先度が割り当てられました。
-
脆弱性の重大度と説明を判断するには、ソースから直接CVEを確認できます。
監査
イメージスキャンを有効にするには、AWS ECSまたはサードパーティのイメージスキャンプロバイダのガイドラインに従ってください。
aws ecr describe-repositories --repository-names $REPO_NAME --region $REGION_CODE
修復
AWS ECRを利用してイメージスキャンを行うには、以下の手順に従ってください。
プッシュ時の検索用に構成されたリポジトリを作成するには (AWS CLI):
aws ecr create-repository --repository-name $REPO_NAME --image-scanning- configuration scanOnPush=true --region $REGION_CODE
既存のリポジトリの設定を編集する (AWS CLI):
aws ecr put-image-scanning-configuration --repository-name $REPO_NAME -- image-scanning-configuration scanOnPush=true --region $REGION_CODE
AWSマネジメントコンソールを使用して手動でイメージ検索を開始するには、次の手順に従ってください。
-
Amazon ECRコンソールを開きます。
-
ナビゲーションバーから、リポジトリを作成するリージョンを選択してください。
-
ナビゲーションペインで、リポジトリを選択します。
-
リポジトリページで、検索するイメージを含むリポジトリを選択します。
-
画像ページで、検索する画像を選択し、次に検索を選択します。