五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

華為云容器安全-web容器安全


容器安全服務(wù)能夠掃描鏡像中的漏洞與配置信息,幫助企業(yè)解決傳統(tǒng)安全軟件無法感知容器環(huán)境的問題;同時(shí)提供容器進(jìn)程白名單、文件只讀保護(hù)和容器逃逸檢測(cè)功能,有效防止容器運(yùn)行時(shí)安全風(fēng)險(xiǎn)事件的發(fā)生。


容器鏡像安全

● 即使在Docker Hub下載的官方鏡像中也常常包含了漏洞,而研發(fā)人員在使用大量開源框架時(shí)更加劇了鏡像漏洞問題的出現(xiàn)。

● 容器鏡像安全對(duì)鏡像進(jìn)行安全掃描,將鏡像中存在的各種風(fēng)險(xiǎn)(鏡像漏洞、帳號(hào)、惡意文件等)進(jìn)行展示,提示用戶及時(shí)修改,消除安全隱患。

容器運(yùn)行時(shí)安全

● 通常容器的行為是固定不變的,容器安全服務(wù)幫助企業(yè)制定容器行為的白名單,確保容器以最小權(quán)限運(yùn)行,有效阻止容器安全風(fēng)險(xiǎn)事件的發(fā)生。

滿足等保合規(guī)

● 安全計(jì)算環(huán)境是等保合規(guī)的關(guān)鍵項(xiàng),容器安全服務(wù)的核心功能夠滿足入侵防范與惡意代碼防范等保條款,能夠協(xié)助用戶保護(hù)容器安全、系統(tǒng)安全。

容器安全功能特性

容器安全服務(wù)主要包含容器鏡像安全、容器安全策略和容器運(yùn)行時(shí)安全功能。

容器鏡像安全

容器安全掃描鏡像倉庫的容器鏡像,發(fā)現(xiàn)鏡像中的漏洞、惡意文件、不安全配置等并給出修復(fù)建議,幫助用戶得到一個(gè)安全的鏡像。

須知:CGS支持對(duì)基于Linux操作系統(tǒng)制作的容器鏡像進(jìn)行檢測(cè)。

功能項(xiàng)
功能描述

容器鏡像漏洞

通過與漏洞庫進(jìn)行比對(duì),檢測(cè)并管理私有鏡像倉庫存在的漏洞,對(duì)當(dāng)前鏡像中存在的緊急漏洞進(jìn)行提醒。

鏡像惡意文件

檢測(cè)鏡像是否攜帶惡意文件(Trojan、Worm、Virus病毒和Adware垃圾軟件等),幫助用戶識(shí)別出存在的風(fēng)險(xiǎn)。

Web-CMS漏洞

通過對(duì)Web目錄和文件進(jìn)行檢測(cè),識(shí)別出Web-CMS漏洞,將存在風(fēng)險(xiǎn)的結(jié)果上報(bào)至管理控制臺(tái),并為您提供漏洞告警。

容器安全策略

通過配置安全策略,幫助企業(yè)制定容器進(jìn)程白名單和文件保護(hù)列表,從而提高系統(tǒng)和應(yīng)用的安全性。

功能項(xiàng)
功能描述

進(jìn)程白名單

將容器運(yùn)行的進(jìn)程設(shè)置為白名單,非白名單的進(jìn)程啟動(dòng)將告警,有效阻止異常進(jìn)程、提權(quán)攻擊、違規(guī)操作等安全風(fēng)險(xiǎn)事件的發(fā)生。

文件保護(hù)

容器中關(guān)鍵的應(yīng)用目錄(例如bin,lib,usr等系統(tǒng)目錄)應(yīng)該設(shè)置文件保護(hù)以防止黑客進(jìn)行篡改和攻擊。容器安全服務(wù)提供的文件保護(hù)功能,可以將這些目錄設(shè)置為監(jiān)控目錄,有效預(yù)防文件篡改等安全風(fēng)險(xiǎn)事件的發(fā)生。

容器運(yùn)行時(shí)安全

實(shí)時(shí)監(jiān)控容器節(jié)點(diǎn)運(yùn)行狀態(tài),發(fā)現(xiàn)挖礦、勒索等惡意程序,發(fā)現(xiàn)違反容器安全策略的進(jìn)程運(yùn)行和文件修改,以及容器逃逸等行為并給出解決方案。

功能項(xiàng)
功能描述

漏洞逃逸攻擊

監(jiān)控到容器內(nèi)進(jìn)程行為符合已知漏洞的行為特征時(shí),觸發(fā)逃逸漏洞攻擊告警。

文件逃逸攻擊

監(jiān)控發(fā)現(xiàn)容器進(jìn)程訪問了宿主機(jī)系統(tǒng)的關(guān)鍵文件目錄(例如:“/etc/shadow”、“/etc/crontab”),則認(rèn)為容器內(nèi)發(fā)生了逃逸文件訪問,觸發(fā)告警。即使該目錄符合容器配置的目錄映射規(guī)則,仍然會(huì)觸發(fā)告警。

容器進(jìn)程異常

● 容器惡意程序

監(jiān)控容器內(nèi)啟動(dòng)的容器進(jìn)程的行為特征和進(jìn)程文件指紋,如果特征與已定義的惡意程序吻合則觸發(fā)容器惡意程序告警。

● 容器異常進(jìn)程

對(duì)于已關(guān)聯(lián)的容器鏡像啟動(dòng)的容器,只允許白名單進(jìn)程啟動(dòng),如果容器內(nèi)存在非白名單進(jìn)程,觸發(fā)容器異常程序告警。

容器異常啟動(dòng)

監(jiān)控新啟動(dòng)的容器,對(duì)容器啟動(dòng)配置選項(xiàng)進(jìn)行檢測(cè),當(dāng)發(fā)現(xiàn)容器權(quán)限過高存在風(fēng)險(xiǎn)時(shí)觸發(fā)告警。

支持以下容器環(huán)境檢測(cè):

● 禁止啟動(dòng)特權(quán)容器(privileged:true)

● 需要限制容器能力集(capabilities:[xxx])

● 建議啟用seccomp(seccomp=unconfined)

● 限制容器獲取新的權(quán)限(no-new-privileges:false)

● 危險(xiǎn)目錄映射(mounts:[...])

高危系統(tǒng)調(diào)用

Linux系統(tǒng)調(diào)用是用戶進(jìn)程進(jìn)入內(nèi)核執(zhí)行任務(wù)的請(qǐng)求通道。容器安全監(jiān)控容器進(jìn)程,如果發(fā)現(xiàn)進(jìn)程使用了危險(xiǎn)系統(tǒng)調(diào)用,觸發(fā)高危系統(tǒng)調(diào)用告警。

敏感文件訪問

監(jiān)控容器內(nèi)已配置文件保護(hù)策略的容器鏡像文件狀態(tài)。如果發(fā)生文件修改事件則觸發(fā)文件異常告警。

容器安全常見問題

容器安全描常見問題

  • 鏡像、容器、應(yīng)用的關(guān)系是什么?

    ● 鏡像是一個(gè)特殊的文件系統(tǒng),除了提供容器運(yùn)行時(shí)所需的程序、庫、資源、配置等文件外,還包含了一些為運(yùn)行時(shí)準(zhǔn)備的配置參數(shù)(如匿名卷、環(huán)境變量、用戶等)。鏡像不包含任何動(dòng)態(tài)數(shù)據(jù),其內(nèi)容在構(gòu)建之后也不會(huì)被改變。

    ● 容器和鏡像的關(guān)系,像程序設(shè)計(jì)中的實(shí)例和類一樣,鏡像是靜態(tài)的定義,容器是鏡像運(yùn)行時(shí)的實(shí)體。容器可以被創(chuàng)建、啟動(dòng)、停止、刪除、暫停等。

    ● 一個(gè)鏡像可以啟動(dòng)多個(gè)容器。

    ● 應(yīng)用可以包含一個(gè)或一組容器。

  • 無服務(wù)授權(quán)權(quán)限和創(chuàng)建委托失敗的原因?

    ?IAM用戶進(jìn)入容器安全服務(wù)控制臺(tái)界面時(shí),發(fā)現(xiàn)服務(wù)授權(quán)頁面“同意授權(quán)”按鈕呈灰色狀態(tài),表示該IAM用戶無服務(wù)授權(quán)權(quán)限,請(qǐng)聯(lián)系擁有Security Administrator權(quán)限的系統(tǒng)管理員授予權(quán)限或使用帳號(hào)開通服務(wù)授權(quán)。

    創(chuàng)建委托失敗的原因:賬戶委托數(shù)量滿額。

    處理方式:登錄到“統(tǒng)一身份認(rèn)證服務(wù)”管理控制臺(tái),對(duì)委托進(jìn)行刪除或聯(lián)系統(tǒng)一身份認(rèn)證服務(wù)增加限額。

  • 容器安全服務(wù)的漏洞庫多久更新一次?

    ?容器安全服務(wù)實(shí)時(shí)獲取官方發(fā)布的漏洞信息,每天凌晨將漏洞更新至漏洞庫中并執(zhí)行全面的漏洞掃描和給出解決方案。您可根據(jù)自身業(yè)務(wù)情況進(jìn)行修復(fù)或調(diào)整有風(fēng)險(xiǎn)的鏡像。

  • 容器安全服務(wù)支持多個(gè)帳號(hào)共享使用嗎?

    ?容器安全服務(wù)不支持多個(gè)帳號(hào)共享使用。例如,如果您在某個(gè)區(qū)域通過注冊(cè)華為云創(chuàng)建了2個(gè)帳號(hào)(“domain1”和“domain2”),當(dāng)您在“domain1”帳號(hào)下購買了容器安全服務(wù),則“domain2”帳號(hào)不能使用“domain1”的容器安全服務(wù)。

    在同一區(qū)域,一個(gè)帳號(hào)在IAM上創(chuàng)建的所有IAM用戶都可以共用該帳號(hào)下的容器安全服務(wù)。例如,您在某個(gè)區(qū)域通過注冊(cè)華為云創(chuàng)建了1個(gè)帳號(hào)(“domain1”),且“domain1”帳號(hào)在IAM中創(chuàng)建了2個(gè)IAM用戶(“sub-user01”、“sub-user02”),如果您授權(quán)了“sub-user01”和“sub-user02”用戶CGS的權(quán)限策略,則這2個(gè)IAM用戶都可以使用“domain1”的容器安全服務(wù)。