Dockerコンテナイメージのセキュリティ脆弱性スキャン

Prev Next

Classic/VPC環境で利用できます。

NAVERクラウドプラットフォームの Container Registryがコンテナイメージセキュリティの脆弱性スキャン機能のための静的解析ツールを提供します。Container Registryのレジストリに保存された Dockerコンテナイメージを手動でスキャンするか、レジストリに Dockerコンテナイメージをアップロード(Push)する時に自動で脆弱性をスキャンするように設定できます。
この機能は CoreOS社のオープンソースコンテナ脆弱性スキャンツールである Clairをベースに提供します。Dockerコンテナイメージのスキャンが終わると、既知の脆弱性についての CVE(Common Vulnerabilities and Exposures)リストを提供します。CVEリストから既知の脆弱性があるパッケージとバージョン、脆弱性が解決されたバージョンを確認できます。

Dockerコンテナイメージセキュリティの脆弱性スキャン方法

コンテナイメージに対するセキュリティ脆弱性を診断して確認する方法は、次の通りです。

  1. イメージアップロード(Push)時にセキュリティ脆弱性診断を自動で実行する機能を有効化
  2. 手動でアップロードされたイメージのセキュリティ脆弱性診断を実行
参考

レジストリにイメージをアップロード(Push)する時に自動で脆弱性診断を実行する Scan on push機能は別途の追加ネットワーク費用が発生します。

1. イメージアップロード(Push)時にセキュリティ脆弱性診断を自動で実行する機能を有効化

イメージアップロード(Push)時にセキュリティ脆弱性診断を自動で実行する機能を有効化する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Containers > Container Registry メニューを順にクリックします。
  2. リストで対象のレジストリ名をクリックします。
  3. 詳細情報で Configuration ボタンをクリックします。
  4. Configuration設定のポップアップで Scan on Push 項目の有効化/無効化のトグルボタンをクリックして使用有無を設定し、[確認] ボタンをクリックします。

セキュリティ脆弱性診断結果を照会する方法は、コンテナイメージのセキュリティ脆弱性照会をご参照ください。

2. 手動でアップロードされたイメージのセキュリティ脆弱性診断を実行

手動でレジストリに保存されたコンテナイメージのセキュリティ脆弱性を診断する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Containers > Container Registry メニューを順にクリックします。
  2. レジストリリストで、対象のレジストリにあるイメージリストの [移動] ボタンをクリックします。
  3. Dockerコンテナイメージリストで対象の Dockerコンテナイメージをクリックします。
  4. 詳細情報画面で [Tags] タブをクリックします。
  5. タグリストからセキュリティ脆弱性を診断していないイメージの セキュリティ脆弱性 列にある [Scan] ボタンをクリックします。
    • セキュリティ脆弱性診断が実行されていない Dockerコンテナイメージは セキュリティ脆弱性 列に not scannedメッセージと [Scan] ボタンが表示されます。
    • 診断を実行すると セキュリティ脆弱性 列に not scannedメッセージが PENDINGに変更され、診断が終わると結果が表示されます。セキュリティ脆弱性診断結果を照会する方法は、Dockerコンテナイメージのセキュリティ脆弱性照会をご参照ください。

Dockerコンテナイメージのセキュリティ脆弱性照会

Dockerコンテナイメージのセキュリティ脆弱性診断を実行すると、一定時間が過ぎた後に結果を確認できます。診断結果を基に脆弱性を排除してコンテナの全体的なセキュリティを強化できます。

コンテナイメージのセキュリティ脆弱性診断結果を確認する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Containers > Container Registry メニューを順にクリックします。
  2. レジストリリストで、対象のレジストリにあるイメージリストの [移動] ボタンをクリックします。
  3. Dockerコンテナイメージリストで対象の Dockerコンテナイメージをクリックします。
  4. 詳細情報画面で [Tags] タブをクリックします。
  5. タグリストの セキュリティ脆弱性 列を確認します。既知の CVEリストの中で深刻度(Severity)が最も高い脆弱性の数が表示されます。
  6. 全体のセキュリティ脆弱性診断結果を確認するには、対象イメージの セキュリティ脆弱性 列の項目をクリックします。
  7. コンテナイメージについて既知の CVEリストを確認した後、セキュリティ強化に必要な対応を行います。
参考
  • セキュリティ脆弱性は深刻度によって5段階に分けて表示します。
    • 段階区分: High-level、Medium-level、Low-level、Negligible-level、Unknown-level
  • Common Vulnerability Exposure(CVE) ID: セキュリティ脆弱性を識別して表示される番号形式です。CVE-年度-一連番号の形式で表示されます。セキュリティ脆弱性1つ当たり CVE IDが1つ与えられます。CVE関連の詳細は、CVE Detailsをご参照ください。
  • Common Vulnerability Scoring System(CVSS): セキュリティ脆弱性の深刻度を点数で示します。0 ~ 10点で示し、点数が高いほどセキュリティが弱いという意味です。