一文带你了解云容器安全服务【与云原生的故事】
1、什么是云容器安全服务
云容器安全服务(Container Guard Service,CGS)能够扫描镜像中的漏洞与配置信息,帮助企业解决传统安全软件无法感知容器环境的问题;同时提供容器进程白名单、文件只读保护和容器逃逸检测功能,有效防止容器运行时安全风险事件的发生。
2、功能特性
容器安全服务主要包含容器镜像安全、容器安全策略和容器运行时安全功能。
2.1、容器镜像安全
容器镜像安全功能可扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。
须知:
CGS支持对基于Linux操作系统制作的容器镜像进行检测。
表1 容器镜像安全 |
||
功能项 |
功能描述 |
检测周期 |
镜像安全扫描(私有镜像仓库) |
支持对私有镜像仓库(SWR中的自有镜像)进行安全扫描,发现镜像的漏洞、不安全配置和恶意代码。 检测范围如下: · 漏洞扫描 对SWR自有镜像进行已知CVE漏洞等安全扫描,帮助用户识别出存在的风险。 · 恶意文件 检测和发现私有镜像是否存在Trojan、Worm、Virus病毒和Adware垃圾软件等类型的恶意文件。 · 基线检查 检测私有镜像的配置合规项目,帮助用户识别不安全的配置项。 · 软件信息 统计和展示私有镜像软件。 · 文件信息 统计和展示私有镜像中不归属于软件列表的文件。 |
· 每日凌晨自动检测 · 手动检测 |
镜像漏洞扫描(本地镜像) |
对CCE容器中运行的镜像进行已知CVE漏洞等安全扫描,帮助用户识别出存在的风险。 |
实时检测 |
镜像漏洞扫描(官方镜像仓库) |
定期对Docker官方镜像进行漏洞扫描。 |
- |
2.2、容器安全策略
通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,确保容器以最小权限运行,从而提高系统和应用的安全性。
表2 容器安全策略 |
||
功能项 |
功能描述 |
检测周期 |
进程白名单 |
将容器运行的进程设置为白名单,非白名单的进程启动将告警,有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。 |
实时检测 |
文件保护 |
容器中关键的应用目录(例如bin,lib,usr等系统目录)应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能,可以将这些目录设置为监控目录,有效预防文件篡改等安全风险事件的发生。 |
实时检测 |
2.3、容器运行时安全
容器运行时安全功能实时监控节点中容器运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。
表3 容器运行时安全 |
||
功能项 |
功能描述 |
检测周期 |
容器逃逸检测 |
从宿主机角度通过机器学习结合规则检测逃逸行为,简单精确,包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。 |
实时检测 |
高危系统调用 |
检测容器内发起的可能引起安全风险的Linux系统调用。 |
实时检测 |
异常程序检测 |
检测违反安全策略的进程启动,以及挖矿、勒索、病毒木马等恶意程序。 |
实时检测 |
文件异常检测 |
检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 |
实时检测 |
容器环境检测 |
检测容器启动异常、容器配置异常等容器环境异常。 |
实时检测 |
3、产品优势
容器安全服务是一个用于检测容器镜像生命周期的安全服务,能帮助您高效管理容器与镜像的安全状态,降低容器与镜像面临的主要安全风险。
- 统一安全管理
统一管理CCE集群中所有节点上运行的容器与镜像的安全状态
- 丰富漏洞库
漏洞库包含丰富的100,000+漏洞,能够有效检测容器镜像漏洞
- 轻量Agent
客户端以容器方式运行,系统资源的占用率极低,正常仅1%,峰值不超过5%
- 容器防逃逸
内置10大类,100小类容器逃逸行为规则,有效检测容器逃逸
- 满足等保合规
满足等保入侵防范条款和恶意代码防范条款
4、应用场景
- 容器镜像安全
即使在Docker Hub下载的官方镜像中也常常包含了漏洞,而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。
容器镜像安全对镜像进行安全扫描,将镜像中存在的各种风险(镜像漏洞、帐号、恶意文件等)进行展示,提示用户及时修改,消除安全隐患。
- 容器运行时安全
通常容器的行为是固定不变的,容器安全服务帮助企业制定容器行为的白名单,确保容器以最小权限运行,有效阻止容器安全风险事件的发生。
- 满足等保合规
安全计算环境是等保合规的关键项,容器安全服务的核心功能够满足入侵防范与恶意代码防范等保条款,能够协助用户保护容器安全、系统安全。
【与云原生的故事】有奖征文火热进行中:https://bbs.huaweicloud.cn/blogs/345260
- 点赞
- 收藏
- 关注作者
评论(0)