功能特性
容器安全服务主要包含容器镜像安全、容器安全策略和容器运行时安全功能。
容器镜像安全
容器镜像安全功能可扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。
CGS支持对基于Linux操作系统制作的容器镜像进行检测。
功能项 |
功能描述 |
检测周期 |
|---|---|---|
镜像安全扫描(私有镜像仓库) |
支持对私有镜像仓库(SWR中的自有镜像)进行安全扫描,发现镜像的漏洞、不安全配置和恶意代码。 检测范围如下: |
|
镜像漏洞扫描(本地镜像) |
对CCE容器中运行的镜像进行已知CVE漏洞等安全扫描,帮助用户识别出存在的风险。 |
实时检测 |
镜像漏洞扫描(官方镜像仓库) |
定期对Docker官方镜像进行漏洞扫描。 |
- |
容器安全策略
通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,确保容器以最小权限运行,从而提高系统和应用的安全性。
功能项 |
功能描述 |
检测周期 |
|---|---|---|
进程白名单 |
将容器运行的进程设置为白名单,非白名单的进程启动将告警,有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。 |
实时检测 |
文件保护 |
容器中关键的应用目录(例如bin,lib,usr等系统目录)应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能,可以将这些目录设置为监控目录,有效预防文件篡改等安全风险事件的发生。 |
实时检测 |
容器运行时安全
容器运行时安全功能实时监控节点中容器运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。
功能项 |
功能描述 |
检测周期 |
|---|---|---|
容器逃逸检测 |
从宿主机角度通过机器学习结合规则检测逃逸行为,简单精确,包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。 |
实时检测 |
高危系统调用 |
检测容器内发起的可能引起安全风险的Linux系统调用。 |
实时检测 |
异常程序检测 |
检测违反安全策略的进程启动,以及挖矿、勒索、病毒木马等恶意程序。 |
实时检测 |
文件异常检测 |
检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 |
实时检测 |
容器环境检测 |
检测容器启动异常、容器配置异常等容器环境异常。 |
实时检测 |
