20年7月29日，在中国信息通信研究院主办的“2020可信云大会”上，华为云容器安全服务（Container Guard Service，简称CGS），经信通院严格检测，49项安全能力全部过检，凭借优秀的整体防护能力，获可信云最高级的先进级认证。

信通院对产品的认证按能力从低到高依次为基础、增强、先进三个等级。本次过检的49项先进级安全能力，包括基础设施安全、软件供应链安全、容器运营安全及日志管理，覆盖了容器构建、容器部署、容器运行三大生命周期阶段。

CGS能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

一、 49项先进安全能力，五大优势

过检的49项先进级安全能力，归纳起来有五大技术优势。

1、 保障容器集群安全

容器集群包括容器运行的某个宿主机和宿主机的管理节点，统一管理容器集群中所有节点上运行的容器与镜像的安全状态。华为云采用了宿主机系统漏洞检测修复、集群组件安全加固、网络隔离、租户资源隔离、资源访问控制等措施，保障容器集群的安全。

2、 实时安全检测防止容器逃逸

首先，CGS可对容器进行细粒度的租户隔离，防止租户间相关攻击和资源滥用；其次，CGS内置10大类，100小类容器逃逸行为规则，可对异常行为进行检测和关联分析，准确发现和阻断shocker攻击、进程提权、DirtyCow和文件暴力破解等攻击，及早规避容器逃逸。

3、 安全扫描保障镜像安全运行

CGS对官方镜像进行定时漏洞扫描，漏洞库包含丰富的100,000+漏洞，能够有效检测容器镜像漏洞，帮助用户在制作镜像前进行漏洞修复。在容器的构建阶段，CGS即可扫描镜像编码的安全问题。在容器分发阶段，CGS会持续对镜像进行安全扫描，发现可能存在的漏洞和风险，并给出修复和调整意见。

4、 自定义运行时的安全策略

在容器运行的时候，CGS可通过恶意程序库，有效检测挖矿、勒索病毒等恶意程序；用户可设置安全策略对某些安全漏洞和风险进行拦截和告警，也可设置进程白名单，有效阻止异常进程、提权攻击、违规操作等风险；文件只读保护功能，锁定和保护关键文件，避免被篡改。

5、轻量级客户端，资源占有率低

CGS客户端以容器方式运行，CPU和内存占用率低，不影响其他容器运行。

二、 容器、主机安全，双双斩获最高级认证

除容器安全服务外，企业主机安全服务同样在本次大会获得了最高级认证。企业主机安全服务提供了资产管理、漏洞管理、基线检查、入侵检测等功能，帮助企业更便捷地管理主机安全风险，实时发现黑客入侵行为，降低云服务器99%以上安全风险的同时，也帮助企业满足等保合规的要求。目前，企业主机安全服务已为过万大型企业提供服务。

三、 雄关漫道真如铁，而今迈步从头越

其实早在19年9月，全球权威咨询机构Forrester发布的报告就指出，华为云容器有“强大的安全和应用生命周期管理能力”，“安全能力覆盖面很广”，华为云的容器安全能力备受广关注。近日，国际权威咨询机构IDC发布了《PRC SDC Software Market Overview, 2019H2/2019》报告。报告显示，华为云容器市场份额中国第一、全球第二。除杰出的市场表现，华为云容器优异的技术特别是安全性再次成为焦点。加上这次获得最高级认证，华为云在容器安全方面的努力得到了业界的认可。

但安全是个需要持续投入、持续演进、持续提升的系统性工程，过去的成绩不代表现在，现在的成绩更不代表未来，雄关漫道真如铁，而今迈步从头越，华为云为企业提供更安全的云服务云产品的努力不会停歇！

了解华为云容器安全服务，请点击：https://www.huaweicloud.com/product/cgs.html