更新时间:2024-10-28 GMT+08:00

配置容器集群防护策略

您可以根据自身业务情况,配置容器集群防护策略,例如配置触发告警的风险(基线、漏洞、恶意文件)等级、容器集群防护范围、镜像白名单以及告警事件发生后HSS执行的防护动作等。

创建防护策略

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  1. 在左侧导航栏,选择 > 容器集群防护,进入“容器集群防护”界面。
  2. 选择“防护策略”页签,单击“创建策略”
  3. 在创建策略弹窗中,配置策略参数。相关参数说明请参见表 配置容器集群防护策略参数说明

    图1 创建防护策略
    表1 配置容器集群防护策略参数说明

    参数名称

    参数说明

    取值样例

    策略模板

    选择策略生效模板,操作如下:

    1. 单击“选择策略模板”,弹出选择策略模板对话框。
    2. 选中任一策略模板,单击“确定”,选择成功。

      您可以根据策略说明,选择符合您需求的策略模板。

    选择策略模板后,需要根据策略模板要求,填写一些策略参数值,您可以根据参数说明提示进行填写。

    K8sPSPPrivilegedContainer

    策略名称

    自定义输入策略名称。

    test

    策略描述

    自定义输入策略用途,做策略区分。

    测试

    防护动作

    选择当HSS发现集群中存在基线、漏洞或恶意脚本风险的镜像启动时的防护动作。

    • 告警:在容器集群防护 > 防护事件页面生成一个防护动作为“告警”的事件。
    • 阻断:阻断风险镜像运行,并在容器集群防护 > 防护事件页面生成一个防护动作为“阻断”的事件。
    • 放行:在容器集群防护 > 防护事件页面生成一个防护动作为“放行”的事件。

    阻断

    防护范围

    选择集群的防护范围。

    当选择镜像阻断策略时,需要额外设置镜像、标签防护范围。

    -

    加白名单(可选)

    填写需要加入白名单的镜像名称。填写格式为“镜像名称:镜像版本”,镜像名称只能包含数字、字母、下划线、中划线、点;多个镜像名称以换行符进行区分。

    填写示例如下:

    • 单个镜像

      image:1.0

    • 多个镜像

      image1:1.0

      image2:1.0

    须知:

    加入白名单的镜像启动时,HSS将不会进行安全检测,请谨慎操作!

    -

  4. 单击“创建”,完成策略创建。

    您可以在防护策略列表中查看创建的防护策略。

编辑或删除集群防护策略

  1. 进入容器集群防护 > 防护策略页签。
  2. 在防护策略所在行的“操作”列,单击需要执行操作。

    • 编辑:修改防护策略信息。
    • 删除:删除不需要的防护策略。

    删除策略后,策略关联的容器集群将停止防护,请谨慎操作!

  3. 单击“确认”,完成编辑或删除。