开启容器防护

操作场景

企业主机安全容器版提供对容器全生命周期的安全防护能力。本章节介绍如何为容器节点开启防护。

前提条件

• 企业主机安全提供包年/包月和按需计费两种计费模式。如果您选择包年/包月的防护方案，请确保已购买充足的防护配额，购买配额操作请参见购买防护配额。按需计费模式采用先使用后付款的方式，无需提前购买配额。
• 请确保已为容器节点安装Agent，且Agent状态为“在线”。为单一节点安装Agent请参见为华为云主机安装Agent、为第三方主机安装Agent。为集群安装Agent请参见为集群安装Agent。

约束限制

企业主机安全暂仅支持为Docker、Containerd、CRI-O、Podman、isulad运行时的容器提供安全防护。

开启容器版防护

1. 登录企业主机安全控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。
4. 在目标服务器所在行的“操作”列，单击“开启防护”，弹出“您确认要对以下容器节点开启防护吗？”对话框。
   列表默认仅展示所有安装了Agent的Linux服务器（即可开启容器版防护的服务器），如果您的服务器尚未安装Agent请参考为主机安装Agent、为集群安装Agent。

   图1 开启容器防护
   

5. 确认节点信息并选择开启方式。

   您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启节点防护。

   • 包年/包月
     • 计费模式：选择“包年/包月”
     • 选择配额：选择配额分配方式。
       • 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。
       • 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。
   • 按需计费
     • 计费模式：选择“按需计费”。
     • 标签：如果您需要使用同一标签标识多种云资源，可以配置标签。
   

   • 一个容器安全配额防护一个集群节点。
   • 如果Linux主机安装的Agent版本为3.2.10及以上版本或Windows主机安装的Agent版本为4.0.22及以上版本，开启容器版防护时，系统会自动为主机开启勒索病毒防护，在主机上部署诱饵文件，并对可疑加密进程执行自动隔离（极小概率存在误隔离）；此外，建议您同时开启勒索备份，提升勒索防护的事后恢复能力，最小化降低业务受损程度。详细操作请参见开启勒索备份。

6. 阅读并勾选《容器安全服务免责声明》。
7. 单击“确定”，开启节点防护，目标节点的“容器防护状态”变更为“防护中”，说明该节点已开启防护。

查看检测详情

开启防护后，企业主机安全将立即对主机执行全面的检测，检测时间可能较长，请您耐心等待。待检测完成后，您可以参考如下方式查看检测详情：

1. 在“资产管理 > 主机管理 > 云服务器”页面中，找到目标服务器。
2. 在目标服务器所在行的“风险状态”列，查看服务器风险检测状态。

   表1 风险状态说明

   状态	说明
   未检测	服务器未开启防护，未检测风险。
   无风险	已对服务器进行了全面的安全检查，未发现风险，或者开启防护不久，还未检测到风险。
   有风险	服务器存在安全风险。

3. 鼠标悬停在风险状态上方，可查看风险分布。

   单击风险数值，可进入详情页面，查看具体内容。

后续操作

企业主机安全提供了部分防御功能，需要您结合业务实际情况选择开启，以提升容器防御能力。具体请参见表 手动配置功能。