Dockerスキャン(ECR/GAR)#
コンテナのイメージ名を指定して、コンテナのイメージスキャンができます。 現在は、AWS, GCPのArtifact Registryに対応しています。
Amazon ECR を利用する場合、AWS外部連携の設定が必要です。 スキャン対象については対応環境を参照してください。
また、GCP Artifact Registry を利用する場合、GCP外部連携の設定が必要です。
Amazon ECRのスキャン#
ECR のスキャンをする場合は、あらかじめ AWS の認証情報を設定する必要があります。 外部連携 AWS 認証設定を参照して、AWS の認証情報を登録してください。
必要な IAM Policy
Amazon ECRイメージスキャン設定が拡張スキャンの場合で、「2023-3-29リリース」より以前に AWS 認証設定を行った場合は、更新が必要です。
FutureVulsで利用するポリシーを参照し、 FutureVulsAssumeRole の IAM Policy に Action として inspector2:ListCoverage と inspector2:ListFindings を追加してください。
連携されるスキャン結果
Amazon ECR のスキャン結果は、ステータスが ACTIVE である脆弱性のみ FutureVuls に連携されます(SUPPRESSED、 CLOSED は連携しない)
AWSでの設定#
まず、Docker Image を ECR に登録します。 Docker Imageを選択し、編集をクリックします。
push時に自動でスキャンが実行されるように設定します。
すでに push 済みの Docker Image をスキャンする場合は、個別に image を選択してスキャンする。
(Optional) 拡張スキャン設定#
FutureVulsでは正確かつ包括的な脆弱性検知のため、Amazon Inspectorによる拡張スキャンの利用を推奨します。
FutureVuls上でのイメージの登録#
ECRでの設定完了後、FutureVuls上でコンテナイメージを登録します。
- サーバ > サーバ追加 > コンテナレジストリ連携(ECR)から、グループの認証情報に紐付くリポジトリの一覧が表示されます。
- 登録したいリポジトリを(複数)選択後、それぞれのリポジトリについて最新タグを使用するかを選択し、最新タグを使用しない場合はタグ名を入力します。
スキャンの実行#
- イメージの登録が完了すると、サーバの詳細タブに「手動スキャン」ボタンが表示されます。
- スキャンが実行されると、通常のサーバと同じように脆弱性やタスクが作成されます。
GCP GARのスキャン#
GCP Artifact Registryに登録しているイメージをスキャンをする場合は、あらかじめGCPの認証情報を設定する必要があります。 外部連携 GCP 認証設定を参照して、GCP の認証情報を登録してください。
Container Registryからの移行案内
GCP の Container Registry サポート終了に伴い、FutureVuls では Container Registry のイメージのサポートを終了しています。 Artifact Registry への移行をお勧めします。 詳細は、Google Cloudの公式アナウンスメントをご参照ください。
GCPでの設定#
Artifact Registryの設定で、脆弱性スキャンを有効にします。
Docker形式のリポジトリを作成します。
作成したリポジトリ内にスキャンしたいイメージを登録します。 下図のようにContainer Analysisが脆弱性を検知していれば準備は完了です(初回検知までに時間がかかる場合があります)
FutureVuls上でのイメージの登録#
Artifact Registryの設定完了後、FutureVuls上でコンテナイメージを登録します。 こちらの操作を開始するには、グループ設定から GCP連携の設定 を完了しておく必要があります。
-
サーバ > サーバ追加 > コンテナレジストリ連携を選択します
-
登録したいイメージを(複数)選択します
- 「最新タグ」にチェックを入れた場合、更新日時が最も新しいタグのイメージをスキャンします
- 「最新タグ」のチェックを外し、タグを指定した場合、常に指定したタグ名のイメージをスキャンします
スキャンの実行#
イメージの登録が完了すると、サーバの詳細タブに「手動スキャン」ボタンが表示されます。 スキャンが実行されると、通常のサーバと同じように脆弱性やタスクが作成されます。