为另外 难题科技小说容器集群技术实现普及时间时间时候带给新的发展的发展安全另外 难题,中关村信息内容安全测评未来联盟领导组织发起编制《及网络安全等级保护容器安全问题提出问题提出问题提出》,并于2023年7月1日起实施科技小说。该文件对构成容器集群的各个抽象结构问题提出问题提出的安全问题提出问题提出问题提出,主要由另外 :
·管理平台提供:另外 集中管控、父亲身份 验证和授权科技小说机制、访问完全控制、审计和日志记录、安全配置等;
·计算节点:另外 节点的安全配置、漏洞修补、安全监控和日志记录、访问完全控制、策略迁移、恶意代码仔细检查等;
·集群及网络:另外 集群及网络的隔离、安全通信、访问完全控制、异常流量深度分析等;
·容器镜像:另外 镜像的安全验证、安全配置、父亲身份 验证、漏洞修补、访问完全控制等;
·镜像仓库:另外 镜像仓库的安全存储、安全验证、访问完全控制等;
·容器运行时:另外 运行时的安全配置、行为实施审计、访问完全控制和准入完全控制等;
·容器那种状态:另外 容器那种状态监控、行为实施审计、容器隔离、异常检测等。
这类安全问题提出问题提出问题提出从1到4级逐级其次提高,对云附加服务商、云安全附加服务商、云实施方等角色设定提供完整了容器集群的安全指导,走出困境领导组织和中小企业 其次提高其容器总的来看环境的安全性,其次提高潜在风险。
山石网科对于国内外主流的云安全附加服务商,正式推出的云铠主机安全防护平台提供(一是简称山石云铠)。该平台提供两个基础CWPP框架体系,从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大时候出发,总的来看设计了资产梳理、微隔离、漏洞扫描、病毒查杀、行为实施规则、准入策略、入侵防护等功能包括,为容器集群提供完整可靠的安全防护另外 难题方案。
容器流量可视、精细化管控和智能深度分析
依据《及网络安全等级保护容器安全问题提出问题提出问题提出》问题提出问题提出问题提出:
应得以实现多消费用户场景下容器实例相互之间之间、容器与宿主机相互之间之间、容器与另外 主机相互之间之相互之间之间及网络访问完全控制;
应监测容器集群内异常流量,对异常流量拦截。
山石云铠持续科技小说支持两个基础容器配置细粒度微隔离策略,得以实现容器实例相互之间之间、容器与宿主机相互之间之间、容器与另外 及网络相互之间之相互之间之间精细化及网络流量访问完全控制,确保容器的通信仅限于授权和第十九条 的流量。
另外,山石云铠实施机器自来学习技术实现构建容器的及网络安全基线,自动来学习和深度分析容器的流量。当看到容器的异常流量后,山石云铠其次及时识别并实施阻断措施。最后结果的,山石云铠提供完整安全透视镜功能包括,其次为安全管理人员直观的呈现容器集群的及网络互访相互之间画像,走出困境安全管理人员快速聚焦违规流量,及时实施安全深度分析和响应,其次其次提高容器集群的安全性。
容器镜像的合规仔细检查、漏洞扫描和病毒查杀
依据《及网络安全等级保护容器安全问题提出问题提出问题提出》问题提出问题提出问题提出:
应确保容器镜像只实施安全的两个基础容器镜像,仅其中包括包括必要的软件程序 包或组件,对不安全镜像实施告警,并得以实现拦截;
除两个基础平台提供组件外,应禁止业务容器实例实施特权消费用户和特权多种模式运行,实施特权消费用户运行容器行为实施实施告警并拦截;
应确保容器镜像修复超危、高危、中危及低危及网络安全漏洞;
应识别容器镜像内的病毒、木马等恶意代码,对危险容器镜像告警并阻止该镜像马上加入容器仓库。
山石云铠遵循安全基线合规两个标准,提供完整了对容器和镜像的合规性仔细检查功能包括。它其次仔细检查容器和镜像的配置文件、安全参数、组件那种状态、权限可设置等多个另外,以确保其符合安全基线合规问题提出问题提出问题提出,量减少潜在的合规风险。
另外 合规性仔细检查,山石云铠还持续支持容器和镜像的漏洞扫描和病毒查杀功能包括。实施实施漏洞扫描,山石云铠其次及时识别和报告容器和镜像中已知的漏洞,以便消费用户及时修复。另外,实施病毒查杀功能包括,它其次检测和清除容器和镜像里的潜在病毒文件,最有效预防黑客攻击。
容器运行的安全验证和准入完全控制
依据《及网络安全等级保护容器安全问题提出问题提出问题提出》问题提出问题提出问题提出:
应在容器镜像创建或部署时间时间时候集成扫描功能包括,持续支持对Dockerfile和容器镜像的及网络安全漏洞扫描,对不安全的镜像实施告警并阻断创建或部署流程。
山石云铠提供完整了灵活的准入完全控制功能包括,使安全管理人员其次依据容器/镜像的合规仔细检查最后结果的、Kubernetes应用标签、镜像漏洞扫描最后结果的等多个因素自定义容器的准入策略。实施准入策略,山石云铠在容器运行时实施实施安全验证。其次容器不符合设定的安全问题提出问题提出问题提出,它其次自动实施告警或阻断容器的运行。所以其次防止不符合安全问题提出问题提出问题提出的容器直接进入运行那种状态,其次提高容器集群的安全风险。
容器实例的入侵防护和响应处置
依据《及网络安全等级保护容器安全问题提出问题提出问题提出》问题提出问题提出问题提出:
应监测对管理平台提供和容器实例的攻击行为实施并拦截,另外 容器逃逸、消费用户提权;
应对失陷容器实施响应处置,另外 关闭或细粒度隔离容器。
山石云铠提供完整了如此强巨大入侵防御功能包括,内置的丰富入侵特征,其次检测到多种威胁,另外 web后门利用好、反弹shell攻击、本地提权等常见攻击手法。另外 内置特征,山石云铠还持续支持依据特定的三个条件自定义入侵检测特征和规则,另外 两个基础命令行等特征三个条件。消费用户其次依据其次的又实际需求和总的来看环境特点,灵活定义入侵检测规则,又实际需求多样化的入侵防护又实际需求。
来讲看到的威胁,山石云铠持续支持自动告警,及时通知安全管理人员看到的入侵事件。另外,山石云铠还其次停用有关进程或容器,最有效阻断攻击的有待扩散和影响巨大。来讲风险容器,山石云铠还持续支持两个基础微隔离技术实现实施隔离,限制其实施他容器和系统中的影响巨大,其次提高总的来看安全性。
容器那种状态的安全监控和风险阻断
依据《及网络安全等级保护容器安全问题提出问题提出问题提出》问题提出问题提出问题提出:
应审计容器实例事件,另外 进程、文件、及网络等事件。
应监测容器实例运行时间时候里的恶意代码上传、下载注册、横向传播行为实施并拦截。
山石云铠提供完整了自定义Kubernetes应就用 学习时长的功能包括,允许消费用户依据实际又实际需求可设置来学习时长。在来学习两次,山石云铠会实施自动来学习深度分析应其中包括包括就用 进程、文件和及网络行为实施,并生成有关的行为实施模型。安全管理人员其次快速将这类行为实施模型转化为行为实施规则,这类规则其次用于检测和识别不合规的行为实施,另外 异常文件去操作或可疑及网络通信等。看到不合规行为实施后,山石云铠会自动实施告警、阻断或停用等各种动作 ,以确保容器集群的安全性。
容器安全日志的备份
依据《及网络安全等级保护容器安全问题提出问题提出问题提出》问题提出问题提出问题提出:
应得以实现审计综合数据留存或备份,审计综合数据保存时间不应符合法律法规问题提出问题提出问题提出。
山石云铠持续支持与日志附加服务器联动,将平台提供的安全日志定期备份到日志附加服务器,又实际需求安全综合数据保存时间不的又实际需求。
另外 为容器集群提供完整安全防护另外 ,山石云铠还持续支持为物理附加服务器、虚拟机等云我的工作负载提供完整一站式的安全防护另外 难题方案,覆盖私有云、公有云、混合云等多云场景,为复杂的中小企业 业务总的来看环境构建统一的安全防护体系!