一文带你了解云容器安全服务【与云原生的故事】

y-wolfandy 发表于 2022/05/14 22:36:42 2022/05/14
【摘要】 云容器安全服务(Container Guard Service,CGS)能够扫描镜像中的漏洞与配置信息,帮助企业解决传统安全软件无法感知容器环境的问题;同时提供容器进程白名单、文件只读保护和容器逃逸检测功能,有效防止容器运行时安全风险事件的发生。

1、什么是云容器安全服务

云容器安全服务(Container Guard ServiceCGS)能够扫描镜像中的漏洞与配置信息,帮助企业解决传统安全软件无法感知容器环境的问题;同时提供容器进程白名单、文件只读保护和容器逃逸检测功能,有效防止容器运行时安全风险事件的发生。

2、功能特性

容器安全服务主要包含容器镜像安全、容器安全策略和容器运行时安全功能。

2.1、容器镜像安全

容器镜像安全功能可扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。

须知:

CGS支持对基于Linux操作系统制作的容器镜像进行检测。

容器镜像安全

功能项

功能描述

检测周期

镜像安全扫描(私有镜像仓库)

支持对私有镜像仓库(SWR中的自有镜像)进行安全扫描,发现镜像的漏洞、不安全配置和恶意代码。

检测范围如下:

·       漏洞扫描

SWR自有镜像进行已知CVE漏洞等安全扫描,帮助用户识别出存在的风险。

·       恶意文件

检测和发现私有镜像是否存在TrojanWormVirus病毒和Adware垃圾软件等类型的恶意文件。

·       基线检查

检测私有镜像的配置合规项目,帮助用户识别不安全的配置项。

·       软件信息

统计和展示私有镜像软件。

·       文件信息

统计和展示私有镜像中不归属于软件列表的文件。

·       每日凌晨自动检测

·       手动检测

镜像漏洞扫描(本地镜像)

CCE容器中运行的镜像进行已知CVE漏洞等安全扫描,帮助用户识别出存在的风险。

实时检测

镜像漏洞扫描(官方镜像仓库)

定期对Docker官方镜像进行漏洞扫描。

-

2.2、容器安全策略

通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,确保容器以最小权限运行,从而提高系统和应用的安全性。

容器安全策略

功能项

功能描述

检测周期

进程白名单

将容器运行的进程设置为白名单,非白名单的进程启动将告警,有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。

实时检测

文件保护

容器中关键的应用目录(例如binlibusr等系统目录)应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能,可以将这些目录设置为监控目录,有效预防文件篡改等安全风险事件的发生。

实时检测

2.3、容器运行时安全

容器运行时安全功能实时监控节点中容器运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。

容器运行时安全

功能项

功能描述

检测周期

容器逃逸检测

从宿主机角度通过机器学习结合规则检测逃逸行为,简单精确,包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。

实时检测

高危系统调用

检测容器内发起的可能引起安全风险的Linux系统调用。

实时检测

异常程序检测

检测违反安全策略的进程启动,以及挖矿、勒索、病毒木马等恶意程序。

实时检测

文件异常检测

检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。

实时检测

容器环境检测

检测容器启动异常、容器配置异常等容器环境异常。

实时检测

3、产品优势

容器安全服务是一个用于检测容器镜像生命周期的安全服务,能帮助您高效管理容器与镜像的安全状态,降低容器与镜像面临的主要安全风险。

  • 统一安全管理

统一管理CCE集群中所有节点上运行的容器与镜像的安全状态

  • 丰富漏洞库

漏洞库包含丰富的100,000+漏洞,能够有效检测容器镜像漏洞

  • 轻量Agent

客户端以容器方式运行,系统资源的占用率极低,正常仅1%,峰值不超过5%

  • 容器防逃逸

内置10大类,100小类容器逃逸行为规则,有效检测容器逃逸

  • 满足等保合规

满足等保入侵防范条款和恶意代码防范条款

4、应用场景

  • 容器镜像安全

即使在Docker Hub下载的官方镜像中也常常包含了漏洞,而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。

容器镜像安全对镜像进行安全扫描,将镜像中存在的各种风险(镜像漏洞、帐号、恶意文件等)进行展示,提示用户及时修改,消除安全隐患。

  • 容器运行时安全

通常容器的行为是固定不变的,容器安全服务帮助企业制定容器行为的白名单,确保容器以最小权限运行,有效阻止容器安全风险事件的发生。

  • 满足等保合规

安全计算环境是等保合规的关键项,容器安全服务的核心功能够满足入侵防范与恶意代码防范等保条款,能够协助用户保护容器安全、系统安全。


【与云原生的故事】有奖征文火热进行中:https://bbs.huaweicloud.com/blogs/345260

 

 

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。