容器集群防护概述

容器集群防护功能支持在容器镜像启动时检测其中存在的不合规基线、漏洞和恶意文件，并可根据检测结果告警和阻断未授权或含高危安全风险的容器镜像运行。

用户可根据自身业务场景灵活配置容器集群防护策略，加固集群安全防线，防止含有漏洞、恶意文件和不合规基线等安全威胁的镜像部署到集群，降低容器生产环境的安全风险。

使用容器集群防护功能，须满足以下条件：

容器节点服务器已开启HSS容器版防护，购买HSS的操作，请参见购买主机安全防护配额。
服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见Agent升级。
- Linux：3.2.7及以上版本。
- Windows：4.0.19及以上版本。
集群版本为1.20及以上版本。
当集群类型为CCE集群时，操作集群内的资源对象需要获取对应的操作权限，因此使用容器集群防护功能时，用户账号需要具备以下两类权限之一
- IAM权限：Tenant Administrator或CCE Administrator。
- 命名空间权限（Kubernetes RBAC授权）：运维权限。权限配置详细操作请参见配置命名空间权限。

图1 使用流程图

表1 容器集群防护使用流程说明
操作项	描述
开启容器集群防护	为集群开启防护，保护业务和关键数据安全；开启防护时，HSS会自动在集群上安装策略管理插件。
配置防护策略	根据自身业务情况，配置基线、漏洞和恶意文件触发告警的风险等级，容器集群防护范围，镜像白名单以及告警事件发生后HSS执行的防护动作。
查看防护事件	您可以在HSS控制台查看被告警或阻断的未授权或含高危安全风险的容器镜像运行事件，及时排查并清理不安全的容器镜像。