1、什么是云容器安全服务

云容器安全服务（Container Guard Service，CGS）能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

2、功能特性

容器安全服务主要包含容器镜像安全、容器安全策略和容器运行时安全功能。

容器镜像安全功能可扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。

须知：

CGS支持对基于Linux操作系统制作的容器镜像进行检测。

通过配置安全策略，帮助企业制定容器进程白名单和文件保护列表，确保容器以最小权限运行，从而提高系统和应用的安全性。

容器运行时安全功能实时监控节点中容器运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。

3、产品优势

容器安全服务是一个用于检测容器镜像生命周期的安全服务，能帮助您高效管理容器与镜像的安全状态，降低容器与镜像面临的主要安全风险。

• 统一安全管理

统一管理CCE集群中所有节点上运行的容器与镜像的安全状态

• 丰富漏洞库

漏洞库包含丰富的100,000+漏洞，能够有效检测容器镜像漏洞

• 轻量Agent

客户端以容器方式运行，系统资源的占用率极低，正常仅1%，峰值不超过5%

• 容器防逃逸

内置10大类，100小类容器逃逸行为规则，有效检测容器逃逸

• 满足等保合规

满足等保入侵防范条款和恶意代码防范条款

4、应用场景

• 容器镜像安全

即使在Docker Hub下载的官方镜像中也常常包含了漏洞，而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。

容器镜像安全对镜像进行安全扫描，将镜像中存在的各种风险（镜像漏洞、帐号、恶意文件等）进行展示，提示用户及时修改，消除安全隐患。

• 容器运行时安全

通常容器的行为是固定不变的，容器安全服务帮助企业制定容器行为的白名单，确保容器以最小权限运行，有效阻止容器安全风险事件的发生。

• 满足等保合规

安全计算环境是等保合规的关键项，容器安全服务的核心功能够满足入侵防范与恶意代码防范等保条款，能够协助用户保护容器安全、系统安全。

【与云原生的故事】有奖征文火热进行中：https://bbs.huaweicloud.com/blogs/345260