文档首页/ 容器安全服务 CGS/ 用户指南/ (可选)策略配置
更新时间:2022-04-06 GMT+08:00

(可选)策略配置

您可以通过自定义安全策略,配置进程白名单(添加容器内允许执行的程序文件路径)和文件保护(添加容器内只读的文件的完整路径),有效预防容器运行时安全风险事件的发生,提高系统和应用的安全性。

前提条件

已开启集群防护功能。

添加策略

  1. 登录管理控制台
  2. 在页面上方选择“区域”后,单击,选择安全与合规 > 容器安全服务,进入“防护列表”界面。
  3. 在左侧导航树中,选择“安全配置”,进入“安全配置”界面。
  4. 选择“策略配置”页签,在策略列表上方,单击“添加策略”
  5. “添加策略”页面,配置策略内容,如图1所示,相关参数说如表1所示。

    图1 “添加策略”页面
    表1 参数说明

    参数名称

    说明

    策略名称

    策略的名称。

    进程白名单

    用户自定义。

    指容器内允许执行的程序文件路径,设置白名单能有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。

    文件保护

    用户自定义。

    指容器内需要只读保护的文件目录,设置文件保护列表能有效预防文件篡改等安全风险事件的发生。

  6. 单击“确定”,完成添加策略操作。

选择关联镜像

添加策略后,您可以选择策略关联的镜像,将添加的策略规则应用到关联的镜像。

  1. 登录管理控制台
  2. 在页面上方选择“区域”后,单击,选择安全与合规 > 容器安全服务,进入“防护列表”界面。
  3. 在左侧导航树中,选择“安全配置”,进入“安全配置”界面。
  4. 选择“策略配置”页签,在需要设置关联镜像的策略所在行的“操作”列,单击“关联镜像”
  5. “关联镜像”对话框中,选择需要应用策略的镜像,如图2所示。

    图2 “关联镜像”对话框

  6. 勾选目标镜像选框,单击“确定”,完成选择关联镜像操作。

    关联镜像设置完后,你可以查看该镜像文件中存在的恶意文件、容器异常监控结果。详细操作,请参见:查看恶意文件检测详情查看运行时安全详情

其他相关操作

  • 查看策略

    在策略列表中,单击策略名称,查看策略内容。

  • 编辑策略

    在需要修改的策略所在行的“操作”列,单击“编辑”,修改策略名称、进程名称和文件保护信息。

  • 删除策略

    在需要删除的策略所在行的“操作”列,单击“删除策略”,删除策略。