Microsoft Ignite 2019の中で、ACRの脆弱性スキャン機能がパブリックプレビューされました。
これまではサードパーティ製のスキャン製品を使うしか選択肢がなかったので、Azureサービスで脆弱性スキャンできるのは待ちに待った機能です!
先日AWSでもECRの脆弱性スキャン機能がリリースされてましたね。
Azureでは、Security Centerを介してACRの脆弱性スキャンをするようです。
早速試してみましょう。
Azure Security CenterをStandardプランに切り替える
-
Securtiy CenterはFreeプランだったので、これを機にStandardプランに切り替えます。
-
Azure Security Centerを開いて[価格と設定]を選択します。
-
サブスクリプションを選択します。
-
[Standard]を選択します。
-
今回Container Registryを試すので、とりあえずContainer Registryだけ有効にします。
-
ダウングレードしちゃうけどいいの?というメッセージが出ます。今回FreeプランからContainer RegistryだけStandardプランに変えたいのでこの設定でいきます。Freeプランで使えている機能が使えなくなるわけではなかったです。このメッセージはちょっと分かりづらいですね。
-
[リソースセキュリティの検疫]→[計算とアプリ]を選択します。
-
[コンテナー(プレビュー)]を選択します。
-
AKSだけ出てきています。Standardプランに切り替えただけでは、Container Registryはまだ画面上でてきません。
-
ACRに何かイメージをpushします。今回はBasicプランのACRにPushしました。
-
もう一度同じ画面を見てみるとACRが追加されています。Pushしないと表示されてこないので注意が必要です。
脆弱性診断結果を確認する
-
先ほどの画面から対象のACRを選択します。
-
[Azure Container Registry イメージの脆弱性を修復する必要があります (プレビュー)]という項目があるので選択します。
-
見てみると、高 20、中 2 の脆弱性があることが分かります。
-
ではその詳細はなに?と思って検出結果を見てみても、[結果がありません]という表示になっています。
-
どうやらこの画面からは詳細な結果を確認することができないようです。これはちょっと分かりにくいですね。
-
セキュリティセンターのトップ画面に戻って、[リソースセキュリティの検疫]→[計算とアプリ]を選択します。
-
[概要]が選択されている画面で、[Azure Container Registryイメージの脆弱性を修復する必要があります]を選択します。
-
先ほどと同じような画面が出てきます。
-
この画面からだと詳細な脆弱性を確認することができました。(Pushしてから反映されるまで時間が掛かります)
-
同じ画面で[影響を受けるリソース]という欄を見てみます。
-
異常なリソースとなっているACRを選択します。
-
スキャンがされて[異常リポジトリ]と判断されたもの、スキャンがされて[正常なリポジトリ]と判断されたもの、まだスキャンされていないリポジトリと3つに区分されています。
-
このリポジトリを選択していくと、脆弱性の詳細を確認することができます。
-
まっさらなnginxをPushしたところ、正常なリポジトリとして記録されました。
まとめ
Security Centerを介しての操作に若干の分かりづらさがあるものの、コンテナーイメージのスキャンができるのはやっぱりいいですね。使いづらさはGAされるころには解消されていることを期待します。
価格がちょっと気になるところです。$0.29/Scan という料金設定になってます。
頻繁にPushするような使い方だと、それなりの金額になってしまう可能性があります。
CI/CDでPushまで自動化している環境だと、コスト見積もりはきちんとしたほうがよさそうです。
スキャン対象外ACRとかを設定することはできず、そのサブスクリプションの全ACRが対象となりました。
いまのところ通知機能がないようです。
スキャン結果の詳細をSlack通知したり、RESTAPIで取れるようになると使い勝手が上がりますね。