上榜全球权威报告!华为云容器安全是这样做到的

举报
云安全 发表于 2019/09/11 11:31:13 2019/09/11
【摘要】 近期,国际权威咨询机构Forrester发布了企业级全球公有云容器平台评估报告,报告显示:华为云容器进入“强劲表现者”象限,稳居全球容器产品TOP阵营,是客户使用容器混合云的最佳选择。报告指出:华为云容器有“强大的安全和应用生命周期管理能力”,“安全能力覆盖面很广”,使其强大的安全性备受关注,具体是如何做的?

近期,国际权威咨询机构Forrester发布了企业级全球公有云容器平台评估报告,报告显示:华为云容器进入“强劲表现者”象限,稳居全球容器产品TOP阵营,是客户使用容器混合云的最佳选择。报告指出:华为云容器有“强大的安全和应用生命周期管理能力”,“安全能力覆盖面很广”,使其强大的安全性备受关注,具体是如何做的?


截图.PNG华为云容器安全进入全球顶尖TOP阵营


一、容器安全为何如此重要?

为何测评机构如此看重容器的安全性,将其作为衡量容器产品最重要的竞争力之一呢?

容器,本质是在一台物理主机(也叫宿主机)上虚拟出的很多相互隔离的操作系统,一旦某个容器被攻击成功,就会导致同在一个宿主机上的其它容器被攻陷(也即“容器逃逸”)。而且,容器本身也是软件,就可能存在安全漏洞,而这往往被使用者忽略,又缺少专业安全团队的帮助,给攻击者带来可乘之机。

在使用场景上,容器经常应用于支撑研发环境,涉及开发、测试和运维等重要研发环节,牵一发而动全身;另一面,容器是运行在某个具体的系统环境中,相关系统、应用和网络都要进行安全加固、检测和防护。因此,从容器的构建到分发到运行的安全性对容器就变得非常重要。

二、华为云全球首发容器安全服务

针对上述安全问题,华为云全球首发容器安全服务(CGS),保障容器从构建到分发到运行的安全性。服务有三大特点:

1、镜像安全扫描提前至容器构建开发阶段:在容器的构建开发阶段,CGS即可扫描镜像编码的安全问题,进行持续集成和持续发布。在容器分发阶段,CGS可进行打包后的扫描,一旦发现安全问题,即可通知开发人员进行修复和调整;

2、实时安全检测防止容器逃逸:CGS可对容器中的异常行为进行检测,与其他行为进行关联分析,准确发现逃逸行为。同时,CGS可对容器权限配置、高危的系统调用、shocker攻击、进程提权、DirtyCow和文件暴力破解等进行检测,及早规避容器逃逸等风险;

3、自定义运行时的安全策略:在运行和仓库镜像时,用户可设置安全策略对某些安全漏洞和风险进行拦截和告警,如阻断存在致命漏洞的程序进入生产环境。运行时,用户可设置白名单,有效阻止异常进程、提权攻击、违规操作等风险;也可设置文件只读保护,锁定和保护关键文件,避免被篡改。


截图3.PNG


其架构图如下,由四部分组成:

华为云容器安全服务CGS主打胶片2.jpg


1、CGS的Agent作为一个容器运行在每个容器节点(主机)上,负责节点上所有容器的镜像漏洞扫描、异常事件收集和安全策略实施。

2、管理Master负责Agent 的管理与运维。

3、智能知识库,用于获取漏洞库、恶意程序库等数据,并进行大数据AI训练。

4、用户使用CGS的操作控制台。


目前,华为云容器安全服务已正式转商,开启后,即可实现容器防护列表查看、镜像列表查看、安全策略设置、漏洞修复、运行时监控等的功能。另外,华为云推出了安全大优惠活动,整个九月,全场7.5折,欢迎参加,详情见华为云官网。https://www.huaweicloud.com/product/cgs.html




【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。