華為云計(jì)算 云知識(shí) 容器安全服務(wù)
容器安全服務(wù)
時(shí)間: 2020-11-16 11:36:08
猜你想看:
實(shí)時(shí)語音識(shí)別 云服務(wù)器配置 CDN是什么意思 視頻點(diǎn)播加速 什么是云桌面

容器安全服務(wù)(Container Guard Service, CGS )能夠掃描容器 鏡像 中的漏洞與配置信息,幫助企業(yè)解決傳統(tǒng)安全軟件無法感知容器環(huán)境的問題;同時(shí)提供容器安全策略和容器逃逸檢測(cè)功能,有效防止容器運(yùn)行時(shí)安全風(fēng)險(xiǎn)事件的發(fā)生。

產(chǎn)品優(yōu)勢(shì)

統(tǒng)一安全管理:統(tǒng)一管理CCE集群中所有節(jié)點(diǎn)上運(yùn)行的容器與鏡像的安全狀態(tài)。

豐富漏洞庫:漏洞庫包含豐富的100,000+漏洞,能夠有效檢測(cè)容器鏡像漏洞。

容器防逃逸:內(nèi)置10大類,100小類容器逃逸行為規(guī)則,有效檢測(cè)容器逃逸。

輕量Agent:客戶端以容器方式運(yùn)行,CPU和內(nèi)存占用率低,不影響其他容器運(yùn)行。

功能描述

容器鏡像安全

掃描鏡像倉庫與正在運(yùn)行的容器鏡像,發(fā)現(xiàn)鏡像中的漏洞、惡意文件等并給出修復(fù)建議,幫助用戶得到一個(gè)安全的黃金鏡像。

鏡像安全掃描(鏡像倉庫):對(duì)鏡像倉庫 SWR中的鏡像進(jìn)行安全掃描,發(fā)現(xiàn)鏡像的漏洞、不安全配置和惡意代碼

鏡像 漏洞掃描 (運(yùn)行鏡像):對(duì)CCE容器中運(yùn)行的鏡像進(jìn)行已知CVE漏洞等安全掃描

鏡像漏洞掃描(官方鏡像):定期對(duì)Docker官方鏡像進(jìn)行漏洞掃描

容器安全策略 

通過配置安全策略,幫助企業(yè)制定容器進(jìn)程白名單和文件保護(hù)列表,確保容器以最小權(quán)限運(yùn)行,從而提高系統(tǒng)和應(yīng)用的安全性。

進(jìn)程白名單:將容器運(yùn)行的進(jìn)程設(shè)置為白名單,非白名單的進(jìn)程啟動(dòng)將告警,有效阻止異常進(jìn)程、提權(quán)攻擊、違規(guī)操作等安全風(fēng)險(xiǎn)事件的發(fā)生。

文件保護(hù):容器中關(guān)鍵的應(yīng)用目錄(例如bin,lib,usr等系統(tǒng)目錄)應(yīng)該設(shè)置文件保護(hù)以防止黑客進(jìn)行篡改和攻擊。容器安全服務(wù)提供的文件保護(hù)功能,可以將這些目錄設(shè)置為監(jiān)控目錄,有效預(yù)防文件篡改等安全風(fēng)險(xiǎn)事件的發(fā)生。

容器運(yùn)行時(shí)安全 

監(jiān)控節(jié)點(diǎn)中容器運(yùn)行狀態(tài),發(fā)現(xiàn)挖礦、勒索等惡意程序,發(fā)現(xiàn)違反容器安全策略的進(jìn)程運(yùn)行和文件修改,以及容器逃逸等行為。

容器逃逸檢測(cè):從宿主機(jī)角度通過機(jī)器學(xué)習(xí)結(jié)合規(guī)則檢測(cè)逃逸行為,簡(jiǎn)單精確,包括shocker攻擊、進(jìn)程提權(quán)、DirtyCow和文件暴力破解等。

異常程序檢測(cè):檢測(cè)違反安全策略的進(jìn)程啟動(dòng),以及挖礦,勒索,病毒木馬等惡意程序

文件異常檢測(cè):檢測(cè)違反安全策略的文件異常訪問,安全運(yùn)維人員可用于判斷是否有黑客入侵并篡改敏感文件

容器環(huán)境檢測(cè):檢測(cè)容器啟動(dòng)異常、容器配置異常等容器環(huán)境異常

應(yīng)用場(chǎng)景

容器鏡像安全

即使在Docker Hub下載的官方鏡像中也常常包含了漏洞,而研發(fā)人員在使用大量開源框架時(shí)更加劇了鏡像漏洞問題的出現(xiàn)。

優(yōu)勢(shì)

倉庫鏡像安全管理:容器安全服務(wù)與鏡像倉庫配合,為鏡像倉庫中的鏡像提供漏洞掃描,惡意文件掃描,基線檢查等能力。

運(yùn)行鏡像漏洞管理:容器安全服務(wù)掃描節(jié)點(diǎn)中所有正在運(yùn)行的容器鏡像,發(fā)現(xiàn)鏡像中的漏洞并給出修復(fù)建議。

官方鏡像漏洞掃描:對(duì)Docker官方鏡像進(jìn)行定時(shí)漏洞掃描,幫助用戶在制作鏡像前進(jìn)行漏洞修復(fù)。

容器運(yùn)行時(shí)安全

通常容器的行為是固定不變的,容器安全服務(wù)幫助企業(yè)制定容器行為的白名單,確保容器以最小權(quán)限運(yùn)行,有效阻止容器安全風(fēng)險(xiǎn)事件的發(fā)生。

優(yōu)勢(shì)

惡意程序檢測(cè):通過惡意程序庫,有效檢測(cè)挖礦,勒索,木馬等惡意程序

進(jìn)程白名單:有效阻止異常進(jìn)程、提權(quán)攻擊、違規(guī)操作等安全風(fēng)險(xiǎn)事件的發(fā)生。

文件只讀保護(hù):將關(guān)鍵文件目錄設(shè)為只讀,保護(hù)容器內(nèi)部的關(guān)鍵文件,避免被修改。

容器防逃逸:有效檢測(cè)shocker攻擊、進(jìn)程提權(quán)、DirtyCow和文件暴力破解等逃逸行為。

滿足等保合規(guī)

容器安全服務(wù)的核心功能能夠滿足入侵防范與惡意代碼防范等保條款,容器化部署的客戶如果需要通過等保測(cè)評(píng),必須購買容器安全服務(wù)。

優(yōu)勢(shì)

滿足入侵防范條款:漏洞檢測(cè)功能滿足“應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞”;運(yùn)行時(shí)安全功能滿足“應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為”。

滿足惡意代碼防范條款:惡意文件掃描與異常程序檢測(cè)功能滿足“應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)的功能軟件”。

容器安全服務(wù)

意見反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會(huì)繼續(xù)努力做到更好 反饋提交失??!請(qǐng)稍后重試!