容器资产概述
什么是容器资产
在容器运行环境中,一个集群节点通常承载着几十到上百个容器,随着容器数量的增加以及容器运行时的动态变化,容器资产状态就会变得愈发复杂,难以有效掌控,容易产生安全盲区,进而成为潜在的安全隐患。
企业主机安全的容器资产功能,通过全面采集容器集群、节点、容器、镜像以及容器指纹,帮助用户清晰掌握容器环境的资产状态,提升运维效能,实现安全隐患的全方位管控。
容器资产采集内容
容器资产采集的资产类型包括集群、节点、容器、镜像、容器指纹(包括账号、开放端口、进程、软件、自启动项、Web应用、Web服务、Web框架、Web站点、中间件和数据库),采集的具体信息项请参见容器资产采集内容。
|
资产类型 |
采集说明 |
采集信息项 |
|---|---|---|
|
集群 |
采集集群列表、工作负载、服务和POD信息,帮助用户了解集群工作情况。 |
|
|
节点 |
采集集群节点和非集群节点信息帮助用户了解节点运行状态。 |
|
|
容器 |
采集容器信息,帮助用户了解容器运行状态、识别异常容器。 |
容器名称、集群信息、状态、所属POD、集群类型、镜像名称、创建时间 |
|
镜像 |
采集本地镜像、仓库镜像(包括SWR、Harbor、Jfrog)以及CI/CD镜像信息,帮助用户管理镜像来源与版本。 |
|
|
账号 |
采集容器系统账号,帮助用户识别可疑账号。 |
账号名称、关联容器数量、服务器名称/IP、登录权限、ROOT权限、用户组、用户目录、用户启动Shell、容器ID |
|
开放端口 |
采集容器系统中的端口,帮助用户识别出其中的危险端口。HSS定义的危险端口请参见危险端口列表。 |
本地端口、协议类型、关联服务器数、服务器名称/IP、监听IP、状态、进程PID、程序文件、主机端口、容器ID |
|
进程 |
采集容器系统中运行的进程,帮助用户发现异常进程(如隐藏进程、陌生 HASH 进程)。 若连续30天未检测到进程活动,将自动从进程信息列表中移除该进程的相关记录。 |
进程路径、关联容器数量、服务器名称/IP、启动参数、启动时间、运行用户、文件权限、进程PID、文件HASH、容器ID |
|
软件 |
采集容器系统中包管理器(如rpm,dpkg)安装的软件信息,帮助用户清点软件资产,识别不安全的软件版本。 |
软件名称、关联容器数量、服务器名称/IP、软件版本、容器ID |
|
自启动项 |
采集容器系统中的自启动服务、开机启动文件夹、预加载动态库、Run注册表键、定时任务,帮助用户及时发现异常自启动项,快速定位木马程序。 |
自启动项名称、类型、容器数量、服务器名称/IP、路径、文件HASH、运行用户、容器ID |
|
Web站点 |
采集Web内容存放目录及对外访问的站点信息,帮助用户全面掌握网站结构与访问路径,防止非法访问。 已支持采集的Web站点包括:基于Linux系统的Apache、Nginx、Tomcat。 |
对外域名、容器数量、服务器名称/IP、对外端口、URL路径、Web目录、目录权限、目录UID、目录最后修改时间、是否SSL证书、证书颁发者、证书使用者、证书颁发时间、证书过期时间、关联进程PID、容器ID |
|
Web框架 |
采集Web页面所使用的开发框架信息,帮助用户识别框架漏洞。 已支持采集的Web框架类型包括以下几种,均基于Linux系统:
|
Web框架名称、容器数量、服务器名称/IP、版本号、路径、关联进程PID、进程路径、容器ID |
|
中间件 |
采集容器系统中Java进程当前加载的jar包及其嵌套依赖的jar包,帮助用户掌握服务运行支撑组件,识别异常组件。 |
中间件名称、容器数量、服务器名称/IP、版本号、路径、关联进程PID、进程路径、容器ID |
|
Web服务 |
采集对外提供Web内容访问的软件详细信息,帮助用户了解网站托管服务配置,防范服务漏洞与配置风险。 已支持采集的Web服务类型包括Apache、Nginx、Tomcat、Weblogic、WebSphere、JBoss、Wildfly、Jetty。 |
Web服务名称、容器数量、服务器名称/IP、版本号、软件目录、目录权限、目录UID、目录最后修改时间、配置文件、关联进程PID、进程路径、容器ID |
|
Web应用 |
采集用于推送和发布Web内容的软件详细信息,帮助用户了解内容传播渠道,防范应用漏洞。 已支持采集的Web应用类型包括PHPMailer、PHPMyadmin、DedeCMS、Wordpress、ThinkPHP、BigTree、JPress、Jenkins、Zabbix、Discuz!、ThinkCMF。 |
Web应用名称、容器数量、服务器名称/IP、版本号、软件目录、目录权限、目录UID、目录最后修改时间、配置文件、关联进程PID、进程路径、容器ID |
|
数据库 |
采集提供数据存储的软件详细信息,帮助用户掌握核心数据存储“载体”,防范数据库漏洞和配置风险。 已支持采集的数据库类型包括MySQL、Redis、Oracle、MongoDB、Memcache、PostgreSQL、HBase、DB2、Sybase、达梦数据库管理系统、金仓数据库管理系统KingbaseES。 |
数据库名称、容器数量、服务器名称/IP、版本号、软件目录、目录权限、目录UID、目录最后修改时间、配置文件、关联进程PID、进程路径、容器ID |
容器资产采集方式
容器资产支持自动采集和手动采集两种采集方式,如有需要您可以设置自动采集周期或手动采集指纹。
- 自动采集
在服务器开启企业容器安全容器版防护后,企业容器安全将自动采集所有资产信息,采集类型和采集周期如表2所示。自动采集周期的起始点为Agent安装成功的时间点。
如需自定义中间件、Web框架、内核模块、Web应用、Web站点、Web服务以及数据库的自动采集周期,详细操作请参见资产发现。
表2 自动采集的资产类型和采集周期 资产类型
自动采集周期
集群
每24小时自动采集。
节点
- 集群节点:每24小时自动采集。
- 非集群节点:安装Agent后自动采集一次。
容器
每24小时自动采集。
镜像
- 本地镜像:安装Agent后,首次采集一次,之后每2.5小时自动执行一次采集任务。
- 仓库镜像:用户授权“SWROperatePolicy”和“CCEOperatePolicy”权限后,每日凌晨自动采集。授权操作请参见授权管理。
- CI/CD镜像:CI/CD项目构建时自动采集。
账号
每小时自动采集。
开放端口
每30秒自动采集。
进程
每小时自动采集。
软件
在容器启动时进行一次数据采集,容器停止后自动清除采集到的数据。
自启动项
每小时自动采集。
Web站点
1次/周,每周一凌晨04:10(+1小时内随机偏移)。
Web框架
1次/周,每周一凌晨04:10(+1小时内随机偏移)。
中间件
1次/周,每周一凌晨04:10(+1小时内随机偏移)。
Web服务
1次/周,每周一凌晨04:10(+1小时内随机偏移)。
Web应用
1次/周,每周一凌晨04:10(+1小时内随机偏移)。
数据库
1次/周,每周一凌晨04:10(+1小时内随机偏移)。
- 手动采集
如果您想立即查看资产的最新信息,可使用企业容器安全提供的一键采集功能采集容器指纹。
- 手动采集所有容器指纹信息请参见手动采集所有容器指纹最新信息。
- 手动采集单个节点的Web应用、Web服务、Web框架、Web站点、中间件、数据库其中一项信息请参见手动采集单个节点的容器指纹最新信息。
- 手动采集集群、节点、容器、镜像信息请参见手动采集集群、节点、容器、镜像信息。
约束与限制
- 容器资产功能仅企业容器安全容器版支持,购买和升级企业容器安全的操作,请参见购买主机安全防护配额和升级防护配额。
- 使用容器资产功能前,请确保已将容器资产接入企业主机安全。
- 接入镜像资产:接入三方镜像仓、在CI/CD中集成镜像安全扫描
- 接入集群资产:安装容器安全Agent
- 容器运行时支持Docker、Containerd、CRI-O、Podman、isulad。
- CCE集群版本需为1.19及以上。
