文档首页 > > 产品介绍> 功能特性

功能特性

分享
更新时间:2020/08/27 GMT+08:00

容器安全服务主要包含容器镜像安全、容器安全策略和容器运行时安全功能。

容器镜像安全

容器镜像安全功能可扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。

CGS支持对基于Linux操作系统制作的容器镜像进行检测。

表1 容器镜像安全

功能项

功能描述

检测周期

镜像安全扫描(私有镜像仓库)

支持对私有镜像仓库(SWR中的自有镜像)进行安全扫描,发现镜像的漏洞、不安全配置和恶意代码。

检测范围如下:

  • 漏洞扫描

    对SWR自有镜像进行已知CVE漏洞等安全扫描,帮助用户识别出存在的风险。

  • 恶意文件

    检测和发现私有镜像是否存在Trojan、Worm、Virus病毒和Adware垃圾软件等类型的恶意文件。

  • 基线检查

    检测私有镜像的配置合规项目,帮助用户识别不安全的配置项。

  • 软件信息

    统计和展示私有镜像软件。

  • 文件信息

    统计和展示私有镜像中不归属于软件列表的文件。

  • 每日凌晨自动检测
  • 手动检测

镜像漏洞扫描(本地镜像)

对CCE容器中运行的镜像进行已知CVE漏洞等安全扫描,帮助用户识别出存在的风险。

实时检测

镜像漏洞扫描(官方镜像仓库)

定期对Docker官方镜像进行漏洞扫描。

-

容器安全策略

通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,确保容器以最小权限运行,从而提高系统和应用的安全性。

表2 容器安全策略

功能项

功能描述

检测周期

进程白名单

将容器运行的进程设置为白名单,非白名单的进程启动将告警,有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。

实时检测

文件保护

容器中关键的应用目录(例如bin,lib,usr等系统目录)应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能,可以将这些目录设置为监控目录,有效预防文件篡改等安全风险事件的发生。

实时检测

容器运行时安全

容器运行时安全功能实时监控节点中容器运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。

表3 容器运行时安全

功能项

功能描述

检测周期

容器逃逸检测

从宿主机角度通过机器学习结合规则检测逃逸行为,简单精确,包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。

实时检测

高危系统调用

检测容器内发起的可能引起安全风险的Linux系统调用。

实时检测

异常程序检测

检测违反安全策略的进程启动,以及挖矿,勒索,病毒木马等恶意程序。

实时检测

文件异常检测

检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。

实时检测

容器环境检测

检测容器启动异常、容器配置异常等容器环境异常。

实时检测

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问