容器安全服务功能
.jpg)
.jpg)
.jpg)
.jpg)
容器安全服务 能够扫描 容器镜像 中的漏洞,以及提供 容器安全 策略设置和防逃逸功能.容器安全服务的核心功能能够满足入侵防范与恶意代码防范等保条款。
容器 镜像 安全
扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的黄金镜像。
镜像安全扫描(镜像仓库):对镜像仓库SWR中的镜像进行安全扫描,发现镜像的漏洞、不安全配置和恶意代码
镜像 漏洞扫描 (运行镜像):对CCE容器中运行的镜像进行已知CVE漏洞等安全扫描
镜像漏洞扫描(官方镜像):定期对Docker官方镜像进行漏洞扫描
容器安全策略
通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,确保容器以最小权限运行,从而提高系统和应用的安全性。
进程白名单:将容器运行的进程设置为白名单,非白名单的进程启动将告警,有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。
文件保护:容器中关键的应用目录(例如bin,lib,usr等系统目录)应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能,可以将这些目录设置为监控目录,有效预防文件篡改等安全风险事件的发生。
容器运行时安全
监控节点中容器运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为。
容器逃逸检测:从宿主机角度通过机器学习结合规则检测逃逸行为,简单精确,包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。
异常程序检测:检测违反安全策略的进程启动,以及挖矿,勒索,病毒木马等恶意程序
文件异常检测:检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件
容器环境检测:检测容器启动异常、容器配置异常等容器环境异常
