亚马逊AWS官方博客
Amazon Inspector 推出新功能:通过将 Amazon ECR 镜像映射至运行中的容器,从而增强容器安全性
运行容器工作负载时,您需要了解软件漏洞如何给资源带来安全风险。截至目前,您能识别 Amazon Elastic Container Registry (Amazon ECR) 镜像中的漏洞,但无法确定这些镜像在容器中是否处于活动状态或跟踪其使用情况。由于无法获知这些镜像是否在运行中的集群上使用,您基于实际部署和使用模式来优先修复的能力十分有限。
从现在开始,Amazon Inspector 推出两项新功能来增强漏洞管理,为您提供更全面的容器视图。首先,Amazon Inspector 现在能将 Amazon ECR 镜像映射到运行中的容器,使安全团队能根据当前环境中运行的容器来优先处理漏洞。借助这些新功能,您可以分析 Amazon ECR 镜像中的漏洞,并根据它们当前是否正在运行以及最近在容器环境中的运行时间来确定修复优先级。此外,您还能查看集群 Amazon 资源名称 (ARN)、部署镜像的 EKS 容器组或 ECS 任务数量,从而根据使用情况和严重性确定修复优先级。
其次,我们将漏洞扫描支持扩展到最小化基础镜像(包括空白镜像、精简运行时镜像和 Chainguard 镜像),并新增对 Go toolchain、Oracle JDK & JRE、Amazon Corretto、Apache Tomcat、Apache httpd、WordPress(核心、主题、插件)和 Puppeteer 等生态系统的支持,帮助团队即便在高度优化的容器环境中也能保持强大的安全性。
通过持续监控和跟踪容器上运行的镜像,Amazon Inspector 帮助团队识别哪些容器镜像在其环境中活跃运行及其部署位置,检测 Amazon Elastic Container Service (Amazon ECS) 和 Amazon Elastic Kubernetes Service (Amazon EKS) 中容器上运行的 Amazon ECR 镜像及其相关漏洞。该解决方案支持团队跨单一 AWS 账户、跨账户场景以及具有委托管理员功能的 AWS Organizations 管理 Amazon ECR 镜像,实现基于容器镜像运行模式的集中式漏洞管理。
下面来看实际操作
Amazon ECR 镜像扫描通过增强扫描帮助识别容器镜像中的漏洞,该功能与 Amazon Inspector 集成,为存储库提供自动化持续扫描。要使用此新功能,您必须通过 Amazon ECR 控制台启用增强扫描,具体操作可参考为 Amazon ECR 中的镜像配置增强扫描文档页面的步骤。 我已启用 Amazon ECR 增强扫描,因此无需执行任何操作。
在 Amazon Inspector 控制台中,我导航到通用设置,然后从导航面板选择 ECR 扫描设置。在此处,我可以通过选择包括最近使用日期或包括最近拉取日期来配置新的镜像重新扫描模式设置。我保留默认的最近使用日期并将镜像最近使用日期设为 14 天。这些设置使 Inspector 根据镜像过去 14 天在 Amazon ECS 或 Amazon EKS 环境中的运行时间来监控它们。应用这些设置后,Amazon Inspector 开始跟踪容器上运行的镜像信息并将其纳入漏洞发现结果,帮助我聚焦于环境中活跃运行的容器镜像。
配置完成后,我可以在详细信息菜单中查看容器上运行的镜像信息,包括最近使用日期、拉取日期以及 EKS 容器组或 ECS 任务数量。
在选择已部署的 ECS 任务/EKS 容器组的数量时,我能看到每个镜像的集群 ARN、最后使用日期和类型。
为了演示跨账户可见性,我有一个在两个账户中部署了 EKS 容器组的存储库。在资源覆盖范围菜单中,我导航到容器存储库,选择存储库名称,然后选择镜像标签。如前所述,我能看到已部署的 EKS 容器组/ECS 任务的数量。
当我选择已部署的 EKS 容器组/ECS 任务数量时,可以看到它正在另一个账户中运行。
在调查发现菜单中,我可以查看所有漏洞,选择某个漏洞后,我能在受影响的资源数据下找到最近使用日期和涉及漏洞的已部署的 ECS 任务/EKS 容器组,从而根据实际使用情况确定修复优先级。
在所有调查发现菜单中,您现在可以使用账户 ID、镜像使用计数和最近镜像使用时间等筛选器搜索账户管理中的漏洞。
 |
 |
|---|
关键功能和注意事项
基于容器镜像生命周期的监控 — Amazon Inspector 现在根据以下因素判断镜像活跃度:镜像推送日期范围为持续时间 14、30、60、90 或 180 天或终身;镜像拉取日期从 14、30、60、90 或 180 天不等;停止时长从未停止至14、30、60、90 或 180 天,以及容器上运行的镜像的状态。这种灵活性让组织能根据实际容器镜像使用情况而非仅存储库事件定制监控策略。对于 Amazon EKS 和 Amazon ECS 工作负载,最后使用、推送和拉取时长默认设为 14 天,这是新客户的默认值。
镜像运行时感知的调查发现详情 — 为帮助确定修复优先级,Amazon Inspector 中的每项调查发现现在包含 lastInUseAt 日期和 InUseCount,分别表示镜像最后一次在容器上运行的时间以及当前使用它的 EKS 容器组/ECS 任务数量。Amazon Inspector 会监控所有账户的 Amazon ECR 最后拉取日期数据以及在 Amazon ECS 任务或 Amazon EKS 容器组容器上运行的镜像数据,并每天至少更新一次。Amazon Inspector 将这些细节整合到所有调查发现报告中,并与 Amazon EventBridge 无缝协作。您可以使用滚动窗口或固定范围选项基于 lastInUseAt 字段过滤调查发现结果,也能根据镜像在过去 14、30、60 或 90 天内的最后运行日期进行筛选。
全面的安全保障 — Amazon Inspector 现在通过单一服务为传统 Linux 发行版和最小化基础镜像(包括空白镜像、精简运行时镜像和 Chainguard 镜像)提供统一的漏洞评估。这种扩展的保障范围消除了对多种扫描解决方案的需求,同时在整个容器生态系统中(从传统发行版到高度优化的容器环境)保持强大的安全实践。该服务通过集中化平台提供全面的漏洞管理,从而简化安全运维,实现对所有容器类型的高效评估。
增强的跨账户可见性 — 现在支持通过委托管理员功能支持对单个账户、跨账户设置和 AWS Organizations 进行安全管理。Amazon Inspector 在同一组织内共享容器上运行的镜像信息,这对维护黄金镜像存储库的账户尤其有价值。如果资源属于具有 API 的账户,Amazon Inspector 会提供运行镜像的所有 Amazon EKS 和 Amazon ECS 集群 ARN,实现跨多 AWS 账户的全面可视性。系统每天至少更新一次已部署的 EKS 容器组或 ECS 任务信息,并在账户加入或离开组织时自动保持准确性。
可用性与定价 — 新的容器映射功能现已在所有提供 Amazon Inspector 的 AWS 区域推出,无需额外费用。要开始使用,请访问 AWS Inspector 文档。有关定价详情和区域可用性,请参阅 AWS Inspector 定价页面。
附注:即使文章标题下只有一个署名,但撰写 AWS 的博客文章始终离不开团队的共同努力。在此,我要特别感谢 Nirali Desai 的技术指导和专业支持,她的慷慨帮助为本博客的完成提供了重要保障。
— Eli
*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您了解行业前沿技术和发展海外业务选择推介该服务。