为重要完美解决容器集群传统技术 普及整个整个中会带来冲击的旧的安全重要完美解决 ,中关村关键信息安全测评防守效率组织一发起编制《以以及网络安全等级保护容器安全意见》 ,并于2023年7月1日起采取。该文件对构成容器集群的各个抽象结构意见了安全意见 ,主要由其中包括包括:
·管理平台提供:其中包括包括集中管控、现实身份验证和授权机制、访问控制住、审计和日志记录、安全配置等;
·计算节点:其中包括包括节点的安全配置、漏洞修补、安全监控和日志记录、访问控制住、策略迁移、恶意代码全面检查等;
·集群以以及网络:其中包括包括集群以以及网络的隔离、安全通信、访问控制住、异常流量分析结论等;
·容器镜像:其中包括包括镜像的安全验证、安全配置、现实身份验证、漏洞修补、访问控制住等;
·镜像仓库:其中包括包括镜像仓库的安全存储、安全验证、访问控制住等;
·容器运行时:其中包括包括运行时的安全配置、行为比较审计、访问控制住和准入控制住等;
·容器目前状态:其中包括包括容器目前状态监控、行为比较审计、容器隔离、异常检测等。
许多安全意见从1到4级逐级全面提高 ,对云增值服务商、云安全增值服务商、云采取方等角色性格 传统技术 提供了容器集群的安全指导 ,能够组织一和中小企业 全面提高 其容器小环境的安全性 ,全面提高 潜在风险。
山石网科也是海外 主流的云安全增值服务商 ,全旧的推出 了云铠主机安全防护平台提供(以上简称山石云铠)。该平台提供基于CWPP框架体系 ,从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大中会出发 ,细节设计了资产梳理、微隔离、漏洞扫描、病毒查杀、行为比较规则、准入策略、入侵防护等研究相关功能 ,为容器集群传统技术 提供可靠的安全防护重要完美解决方案。
容器流量可视、精细化管控和智能分析结论
很据《以以及网络安全等级保护容器安全意见》意见:
应能够实现多普通用户场景下容器实例彼此之间、容器与宿主机彼此之间、容器与不仅 主机彼此之彼此之间以以及网络访问控制住;
应监测容器集群内异常流量 ,对异常流量拦截。
山石云铠都支持基于容器配置细粒度微隔离策略 ,能够实现容器实例彼此之间、容器与宿主机彼此之间、容器与不仅 以以及网络彼此之彼此之间精细化以以及网络流量访问控制住 ,确保容器的通信仅限于授权和第十九条 的流量。
不仅 ,山石云铠采取机器自学习全面提高 传统技术 构建容器的以以及网络安全基线 ,自动学习全面提高 和分析结论容器的流量。当意外发现容器的异常流量后 ,山石云铠还能及时识别并采取阻断措施。然而的 ,山石云铠传统技术 提供安全透视镜研究相关功能 ,还能为安全管理人员直观的呈现容器集群的以以及网络互访彼此之间画像 ,能够安全管理人员快速聚焦违规流量 ,及时采取安全分析结论和响应 ,使其全面提高 容器集群的安全性。
容器镜像的合规全面检查、漏洞扫描和病毒查杀
很据《以以及网络安全等级保护容器安全意见》意见:
应确保容器镜像只采取安全的基于容器镜像 ,仅其中包括包括必要的各类软件包或组件 ,对不安全镜像采取告警 ,使其够实现拦截;
除基于平台提供组件外 ,应禁止业务容器实例采取特权普通用户和特权操作模式运行 ,采取特权普通用户运行容器行为比较采取告警并拦截;
应确保容器镜像修复超危、高危、中危及低危以以及网络安全漏洞;
应识别容器镜像内的病毒、木马等恶意代码 ,对危险容器镜像告警并阻止该镜像直接加入容器仓库。
山石云铠遵循安全基线合规基本标准 ,传统技术 提供了对容器和镜像的合规性全面检查研究相关功能。它还能全面检查容器和镜像的配置文件、安全参数、组件目前状态、权限设置一等多个除了方面 ,以确保其符合安全基线合规意见 ,可减少潜在的合规风险。
其中包括包括合规性全面检查 ,山石云铠还都支持容器和镜像的漏洞扫描和病毒查杀研究相关功能。采取采取漏洞扫描 ,山石云铠还能及时识别和报告容器和镜像中已知的漏洞 ,以便普通用户及时修复。不仅 ,采取病毒查杀研究相关功能 ,它还能检测和清除容器和镜像中也潜在病毒文件 ,更有效预防黑客攻击。
容器运行的安全验证和准入控制住
很据《以以及网络安全等级保护容器安全意见》意见:
应在容器镜像创建或部署整个整个中会集成扫描研究相关功能 ,都支持对Dockerfile和容器镜像的以以及网络安全漏洞扫描 ,对不安全的镜像采取告警并阻断创建或部署流程。
山石云铠传统技术 提供了灵活的准入控制住研究相关功能 ,使安全管理人员还能很据容器/镜像的合规全面检查然而的、Kubernetes应用标签、镜像漏洞扫描然而的等多个因素自定义容器的准入策略。采取准入策略 ,山石云铠在容器运行时采取采取安全验证。还能容器不符合设定的安全意见 ,它还能自动采取告警或阻断容器的运行。然而还能防止不符合安全意见的容器快速进入运行目前状态 ,全面提高 容器集群的安全风险。
容器实例的入侵防护和响应处置
很据《以以及网络安全等级保护容器安全意见》意见:
应监测对管理平台提供和容器实例的攻击行为比较并拦截 ,其中包括包括容器逃逸、普通用户提权;
应对失陷容器采取响应处置 ,其中包括包括关闭或细粒度隔离容器。
山石云铠传统技术 提供了更加强很大入侵防御研究相关功能 ,内置的丰富入侵特征 ,还能检测到多种威胁 ,其中包括包括web后门多种渠道、反弹shell攻击、本地提权等常见攻击手法。其中包括包括内置特征 ,山石云铠还都支持很据特定的条件一自定义入侵检测特征和规则 ,其中包括包括基于命令行等特征条件一。普通用户还能很据进而 的又满足和小环境特点 ,灵活定义入侵检测规则 ,又满足多样化的入侵防护又满足。
应该意外发现的威胁 ,山石云铠都支持自动告警 ,及时通知安全管理人员意外发现的入侵事件。不仅 ,山石云铠还还能停用研究相关进程或容器 ,更有效阻断攻击的逐步扩散和影响到。应该风险容器 ,山石云铠还都支持基于微隔离传统技术 采取隔离 ,限制其采取他容器和系统中的影响到 ,全面提高 整体感觉安全性。
容器目前状态的安全监控和风险阻断
很据《以以及网络安全等级保护容器安全意见》意见:
应审计容器实例事件 ,其中包括包括进程、文件、以以及网络等事件。
应监测容器实例运行整个整个中会也恶意代码上传、手机下载、横向传播行为比较并拦截。
山石云铠传统技术 提供了自定义Kubernetes应用学习全面提高 时长的研究相关功能 ,允许普通用户很据实际又满足设置一学习全面提高 时长。在学习全面提高 期内 ,山石云铠会采取自动学习全面提高 分析结论应使用进程、文件和以以及网络行为比较 ,并生成研究相关的行为比较模型。安全管理人员还能快速将许多行为比较模型转化为行为比较规则 ,许多规则还能用于检测和识别不合规的行为比较 ,其中包括包括异常文件去操作或可疑以以及网络通信等。意外发现不合规行为比较后 ,山石云铠会自动采取告警、阻断或停用等动作细节 ,以确保容器集群的安全性。
容器安全日志的备份
很据《以以及网络安全等级保护容器安全意见》意见:
应能够实现审计最终数据留存或备份 ,审计最终数据保存段里 应符合法律法规意见。
山石云铠都支持与日志增值服务器联动 ,将平台提供的安全日志定期备份到日志增值服务器 ,又满足安全最终数据保存段里 的又满足。
其中包括包括为容器集群传统技术 提供安全防护不仅 ,山石云铠还都支持为物理增值服务器、虚拟机等云工作时负载传统技术 提供一站式的安全防护重要完美解决方案 ,覆盖私有云、公有云、混合云等多云场景 ,为复杂的中小企业 业务小环境构建统一的安全防护体系!