コンテンツにスキップ

Dockerスキャン(ECR/GAR)#

コンテナのイメージ名を指定して、コンテナのイメージスキャンができます。 現在は、AWS, GCP の Artifact Registry に対応しています。

Amazon ECR を利用する場合、AWS外部連携の設定が必要です。 スキャン対象については対応環境を参照してください。

また、GCP Artifact Registry を利用する場合、GCP外部連携の設定が必要です。

Amazon ECRのスキャン#

ECR のスキャンをする場合は、あらかじめ AWS の認証情報を設定する必要があります。 外部連携 AWS 認証設定を参照して、AWS の認証情報を登録してください。

必要な IAM Policy

Amazon ECR イメージスキャン設定が拡張スキャンの場合で、「2023-3-29リリース」より以前に AWS 認証設定を行った場合は、更新が必要です。 FutureVulsで利用するポリシーを参照し、 FutureVulsAssumeRole の IAM Policy に Action として inspector2:ListCoverageinspector2:ListFindings を追加してください。

連携されるスキャン結果

Amazon ECR のスキャン結果は、ステータスが ACTIVE である脆弱性のみ FutureVuls に連携されます(SUPPRESSEDCLOSED は連携しない)

AWSでの設定#

まず、Docker Image を ECR に登録します。 Docker Image を選択し、編集をクリックします。

image

push 時に自動でスキャンが実行されるように設定します。

image

すでに push 済みの Docker Image をスキャンする場合は、個別に image を選択してスキャンする。

image

(Optional) 拡張スキャン設定#

FutureVuls では正確かつ包括的な脆弱性検知のため、Amazon Inspectorによる拡張スキャンの利用を推奨します。

スキャン設定

拡張スキャンを利用すると、基本スキャンに比べて以下のようなメリットが得られます。

  • 脆弱性検知エンジンに Amazon Inspector が利用される
  • イメージの脆弱性が継続的にスキャンされるようになるため、プッシュ後に発生した脆弱性も検知できる
  • OS に加えて、アプリケーションライブラリの脆弱性を検知できる

拡張スキャンについて、詳細は AWS 公式ドキュメント: Amazon ECR で OS とプログラミング言語のパッケージの脆弱性を調べるためのイメージのスキャン 等を参照してください。

FutureVuls上でのイメージの登録#

ECR での設定完了後、FutureVuls 上でコンテナイメージを登録します。

  • サーバ > サーバ追加 > コンテナレジストリ連携(ECR)から、グループの認証情報に紐付くリポジトリの一覧が表示されます。
  • 登録したいリポジトリを(複数)選択後、それぞれのリポジトリについて最新タグを使用するかを選択し、最新タグを使用しない場合はタグ名を入力します。

ECR追加ボタン

ECR登録画面

スキャンの実行#

  • イメージの登録が完了すると、サーバの詳細タブに「手動スキャン」ボタンが表示されます。
  • スキャンが実行されると、通常のサーバと同じように脆弱性やタスクが作成されます。

GCP GARのスキャン#

GCP Artifact Registry に登録しているイメージをスキャンをする場合は、あらかじめ GCP の認証情報を設定する必要があります。 外部連携 GCP 認証設定を参照して、GCP の認証情報を登録してください。

Container Registry からの移行案内

GCP の Container Registry サポート終了に伴い、FutureVuls では Container Registry のイメージのサポートを終了しています。 Artifact Registry への移行をお勧めします。 詳細は、Google Cloudの公式アナウンスメントをご参照ください。

GCPでの設定#

Artifact Registry の設定で、脆弱性スキャンを有効にします。

スキャン有効化

Docker 形式のリポジトリを作成します。

リポジトリ登録

作成したリポジトリ内にスキャンしたいイメージを登録します。 下図のように Container Analysis が脆弱性を検知していれば準備は完了です(初回検知まで時間を要する場合があります)

イメージ登録

FutureVuls上でのイメージの登録#

Artifact Registry の設定完了後、FutureVuls 上でコンテナイメージを登録します。 こちらの操作を開始するには、グループ設定から GCP連携の設定 を完了しておく必要があります。

  • サーバ > サーバ追加 > コンテナレジストリ連携を選択します

    コンテナレジストリ連携選択

  • 登録したいイメージを(複数)選択します

    • 「最新タグ」にチェックを入れた場合、更新日時が最も新しいタグのイメージをスキャンします
    • 「最新タグ」のチェックを外し、タグを指定した場合、常に指定したタグ名のイメージをスキャンします

    コンテナレジストリ連携選択

スキャンの実行#

イメージの登録が完了すると、サーバの詳細タブに「手動スキャン」ボタンが表示されます。 スキャンが実行されると、通常のサーバと同じように脆弱性やタスクが作成されます。