如何使用容器安全服务
容器安全服务(Container Guard Service,CGS)是针对云容器引擎服务(CCE)集群进行安全防护和对容器镜像服务(SWR)镜像仓库中的镜像进行安全扫描的一种安全检测服务,同时提供容器进程白名单、文件只读保护和容器逃逸检测功能,有效防止容器运行时安全风险事件的发生。
本指南指导您快速上手容器安全服务。
Step1 开启集群防护
步骤
① 登录华为云控制台。在控制台页面中选择“安全与合规> 容器安全服务”,购买容器安全配额。
② 在左侧导航树中选择“防护列表”,在“集群列表”中单击“开启防护”,开启需要防护的集群。
③ 在弹出的“开启防护“对话框中,勾选“我已阅读并同意《容器安全服务免责声明》”并单击“是”,完成开启防护操作。
说明
① 开启集群防护时,若用户购买的包周期防护配额小于当前需要开启防护的集群节点个数,超出的集群节点将执行按需计费。
② 集群开启防护后,如果集群新增了节点,容器安全服务将为新增的节点自动开启防护,并对新增的节点提供防护。
1
购买容器安全配额
2
集群列表
3
开启防护
单击图片可查看原图
Step2 查看本地镜像漏洞
步骤
① 在左侧导航树中,选择
②查看TOP5风险的镜像。
③ 查看受该漏洞的镜像。
说明
① 用户开启集群防护后,容器安全服务自动对本地镜像执行安全扫描。
② 针对已判断无风险或风险较小的漏洞,您可以忽略漏洞在所有镜像上的影响或者忽略漏洞在某一镜像上的影响。忽略漏洞后,镜像将不再统计该漏洞,但漏洞列表中仍可见。
1
漏洞占比
2
TOP5风险的镜像
3
漏洞列表
单击图片可查看原图
Step3 扫描私有镜像并查看漏洞报告
步骤
① 在左侧导航树中,选择
② 单击镜像名称,展开镜像版本列表,在操作列,单击“安全扫描”。
③ 在弹出的“安全扫描”对话框中,单击“确定”,启动扫描任务。
④ 扫描完成后,单击漏洞报告,查看镜像上存在的漏洞。
说明
① 容器安全服务每日凌晨对私有镜像执行一次全面的安全检测。
② 用户也可以单击镜像版本,进入镜像详情页面,查看镜像的基本信息、漏洞报告、关联策略、恶意文件、软件信息、文件信息和基线检查;并根据解决方案修复有安全风险的镜像。
1
镜像列表
2
安全扫描
3
漏洞报告
单击图片可查看原图
Step4 查看运行时安全
步骤
① 在左侧导航树中,选择
② 查看异常趋势图。
③ 查看异常事件列表。
说明
① 容器安全服务实时监控容器集群中运行的容器,用户可随时查看容器异常事件详情。
② 容器安全服务提供逃逸检测、高危系统调用、异常进程检测、文件异常检测和容器环境检测。
1
异常趋势图
2
异常事件列表
单击图片可查看原图
Step5 (可选)配置安全策略
步骤
① 在左侧导航树中,选择
② 在弹出的“添加策略”对话框中,配置策略内容并单击“确定”,完成添加策略操作。
③ 添加完成后,将添加的策略规则应用到关联的镜像。
说明
用户也可在镜像列表,单击需要添加策略的镜像,进入该镜像详情页面,选择关联策略,为该镜像应用策略。
1
添加策略
2
配置策略内容
3
选择关联的镜像
单击图片可查看原图
