为需要解决解决问题 容器集群各种技术普及积累积累时候会带来的有新安全需要需要解决解决问题  ,中关村信息内容安全测评顶级控卫其他组织 发起编制《侵删安全等级保护容器安全其明确提出提出》  ,并于2023年7月1日起展开。该文件对构成容器集群的各个抽象结构其明确提出提出的安全其明确提出提出  ,以下几点之外:

·管理平台合作 :之外集中管控、政治身份验证和授权机制、访问以及控制、审计和日志记录、安全配置等;

·计算节点:之外节点的安全配置、漏洞修补、安全监控和日志记录、访问以及控制、策略迁移、恶意代码常规检查等;

·集群侵删:之外集群侵删的隔离、安全通信、访问以及控制、异常流量分析结论等;

·容器镜像:之外镜像的安全验证、安全配置、政治身份验证、漏洞修补、访问以及控制等;

·镜像仓库:之外镜像仓库的安全存储、安全验证、访问以及控制等;

·容器运行时:之外运行时的安全配置、行为比较审计、访问以及控制和准入以及控制等;

·容器目前状态:之外容器目前状态监控、行为比较审计、容器隔离、异常检测等。

的话 的 安全其明确提出提出从1到4级逐级提升  ,对云产品服务商、云安全产品服务商、云展开方等各种角色提供全面了容器集群的安全指导  ,帮组其他组织 和中小企业 提升其容器内部环境的安全性  ,提升潜在风险。

山石网科对于国内外主流的云安全产品服务商 ,率先推出的云铠主机安全防护平台合作 (以下几点简称山石云铠)。该平台合作 认知基础CWPP框架体系  ,从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大时候出发  ,部分设计了资产梳理、微隔离、漏洞扫描、病毒查杀、行为比较规则、准入策略、入侵防护等基本功能 ,为容器集群提供全面可靠的安全防护需要解决解决问题 方案。

容器流量可视、精细化管控和智能分析结论

参照 《侵删安全等级保护容器安全其明确提出提出》其明确提出提出:

应快速实现多发现用户场景下容器实例相互之间之间、容器与宿主机相互之间之间、容器与之外主机相互之间之相互之间之间侵删访问以及控制;

应监测容器集群内异常流量 ,对异常流量拦截。

山石云铠部分支持认知基础容器配置细粒度微隔离策略 ,快速实现容器实例相互之间之间、容器与宿主机相互之间之间、容器与之外侵删相互之间之相互之间之间精细化侵删流量访问以及控制  ,确保容器的通信仅限于授权和具体规定的流量。

之外  ,山石云铠展开机器自学习内容 各种技术构建容器的侵删安全基线 ,自动学习内容 和分析结论容器的流量。当惊奇发现容器的异常流量后  ,山石云铠之外 及时识别并展开阻断措施。最终结果  ,山石云铠提供全面安全透视镜基本功能  ,之外 为安全管理人员直观的呈现容器集群的侵删互访相互之间画像 ,帮组安全管理人员快速聚焦违规流量  ,及时展开安全分析结论和响应  ,因而提升容器集群的安全性。

容器镜像的合规常规检查、漏洞扫描和病毒查杀

参照 《侵删安全等级保护容器安全其明确提出提出》其明确提出提出:

应确保容器镜像只展开安全的认知基础容器镜像 ,仅在内必要的使用软件包或组件  ,对不安全镜像展开告警  ,并快速实现拦截;

除认知基础平台合作 组件外 ,应禁止业务容器实例展开特权发现用户和特权常规模式 运行 ,展开特权发现用户运行容器行为比较展开告警并拦截;

应确保容器镜像修复超危、高危、中危及低危侵删安全漏洞;

应识别容器镜像内的病毒、木马等恶意代码  ,对危险容器镜像告警并阻止该镜像直接加入容器仓库。

山石云铠遵循安全基线合规一般标准  ,提供全面了对容器和镜像的合规性常规检查基本功能。它之外 常规检查容器和镜像的配置文件、安全参数、组件目前状态、权限包括设置等多个各种技术各种技术层面  ,以确保其符合安全基线合规其明确提出提出  ,减轻 潜在的合规风险。

之外合规性常规检查  ,山石云铠还部分支持容器和镜像的漏洞扫描和病毒查杀基本功能。展展开开漏洞扫描 ,山石云铠之外 及时识别和报告容器和镜像中已知的漏洞 ,以便发现用户及时修复。之外  ,展开病毒查杀基本功能  ,它之外 检测和清除容器和镜像时候潜在病毒文件  ,快速有效预防黑客攻击。

容器运行的安全验证和准入以及控制

参照 《侵删安全等级保护容器安全其明确提出提出》其明确提出提出:

应在容器镜像创建或部署积累积累时候集成扫描基本功能 ,部分支持对Dockerfile和容器镜像的侵删安全漏洞扫描  ,对不安全的镜像展开告警并阻断创建或部署流程。

山石云铠提供全面了灵活的准入以及控制基本功能  ,使安全管理人员之外 参照 容器/镜像的合规常规检查最终结果、Kubernetes应用标签、镜像漏洞扫描最终结果等多个因素自定义容器的准入策略。展开准入策略  ,山石云铠在容器运行时展开展开安全验证。之外 容器不符合设定的安全其明确提出提出  ,它之外 自动展开告警或阻断容器的运行。的话 之外 防止不符合安全其明确提出提出的容器正式进入运行目前状态 ,提升容器集群的安全风险。

容器实例的入侵防护和响应处置

参照 《侵删安全等级保护容器安全其明确提出提出》其明确提出提出:

应监测对管理平台合作 和容器实例的攻击行为比较并拦截  ,之外容器逃逸、发现用户提权;

应对失陷容器展开响应处置  ,之外关闭或细粒度隔离容器。

山石云铠提供全面了强悍的入侵防御基本功能  ,内置的丰富入侵特征  ,之外 检测到多种威胁  ,之外web后门多种手段、反弹shell攻击、本地提权等常见攻击手法。之外内置特征  ,山石云铠还部分支持参照 特定的两个条件自定义入侵检测特征和规则  ,之外认知基础命令行等特征两个条件。发现用户之外 参照 自身能力的又产品需求和内部环境特点  ,灵活定义入侵检测规则 ,又产品需求多样化的入侵防护又产品需求。

而言惊奇发现的威胁  ,山石云铠部分支持自动告警  ,及时通知安全管理人员惊奇发现的入侵事件。之外  ,山石云铠还之外 停用研究相关进程或容器  ,快速有效阻断攻击的并进一步扩散和产生影响。而言风险容器  ,山石云铠还部分支持认知基础微隔离各种技术展开隔离 ,限制其展开他容器和系统实现的产生影响  ,提升整体性 安全性。

容器目前状态的安全监控和风险阻断

参照 《侵删安全等级保护容器安全其明确提出提出》其明确提出提出:

应审计容器实例事件  ,之外进程、文件、侵删等事件。

应监测容器实例运行积累时候时候恶意代码上传、下载注册、横向传播行为比较并拦截。

山石云铠提供全面了自定义Kubernetes应用学习内容 时长的基本功能  ,允许发现用户参照 实际又产品需求包括设置学习内容 时长。在学习内容 这段期间 ,山石云铠会展开自动学习内容 分析结论应就用 过进程、文件和侵删行为比较  ,并生成研究相关的行为比较模型。安全管理人员之外 快速将的话 的 行为比较模型转化为行为比较规则  ,的话 的 规则之外 用于检测和识别不合规的行为比较  ,之外异常文件操作常规模式 或可疑侵删通信等。惊奇发现不合规行为比较后  ,山石云铠会自动展开告警、阻断或停用等一般标准动作 ,以确保容器集群的安全性。

容器安全日志的备份

参照 《侵删安全等级保护容器安全其明确提出提出》其明确提出提出:

应快速实现审计数据数据留存或备份 ,审计数据数据保存这段期间应符合法律法规其明确提出提出。

山石云铠部分支持与日志产品服务器联动  ,将平台合作 的安全日志定期备份到日志产品服务器  ,又产品需求安全数据数据保存时间时候又产品需求。

之外为容器集群提供全面安全防护之外 ,山石云铠还部分支持为物理产品服务器、虚拟机等云目前工作 负载提供全面一站式的安全防护需要解决解决问题 方案 ,覆盖私有云、公有云、混合云等多云场景  ,为复杂的中小企业 业务内部环境构建统一的安全防护体系!



推荐阅读