处置风险容器
操作场景
企业主机安全支持检测容器安全风险,并将容器安全风险分为以下几类:
- 致命:恶意程序等
- 高危:勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等
- 中危:Webshell、异常启动、进程异常、敏感文件访问等
- 低危:暴力破解等
为避免有中危及以上安全风险容器影响其他容器的正常运行和使用,您可以通过隔离、暂停或停止容器的方式处置风险容器。
约束限制
- 仅HSS容器版支持该功能,购买和升级HSS的操作,请参见购买主机安全防护配额和配额版本升级。
- 仅支持Linux容器。
- 仅有中危及以上安全风险的容器支持处置操作。
处置风险容器
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航树选择“容器管理”页面。
,进入
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择“容器”,进入容器页签。
- 在容器列表上方搜索框中选择
,筛选有风险的容器。图1 筛选风险容器
- 在目标风险容器所在行的“操作”列,选择需要执行的处置操作。
对于集群容器支持停止容器操作,对于单机容器支持隔离、暂停、停止容器操作。
仅有中危及以上风险的容器支持处置操作,您可以将鼠标滑动至目标风险容器所在行的安全风险列,查看安全风险分布。
- 隔离容器:容器被隔离后,在容器运行时,您将无法访问容器,且容器也无法访问主机的挂载目录以及容器自身的根系统文件。
- 单击“隔离”。
- 在弹出的对话框中确认信息无误后,单击“确认”。
- 暂停容器:冻结容器中运行的进程。
- 单击“暂停”。
- 在弹出的对话框中确认信息无误后,单击“确认”。
- 停止容器:终止运行中的容器进程,使容器处于终止状态,如果容器配置了AutoRemove,将无法恢复运行。
- 单击“停止容器”。
- 在弹出的对话框中确认信息无误后,单击“确认”。
- 隔离容器:容器被隔离后,在容器运行时,您将无法访问容器,且容器也无法访问主机的挂载目录以及容器自身的根系统文件。
相关操作
恢复容器为“运行中”状态
将处于“已隔离”、“已暂停”或“终止”状态的容器恢复为“运行中”状态。
处于终止状态的容器如果配置了AutoRemove,将无法恢复运行。
- 在目标容器所在行的“操作”列单击“恢复”。
- 在弹出的对话框中确认信息无误后,单击“确认”。