随着云计算的发展,以容器和微服务为代表的云原生技术,正在加速推进企业数字化转型进程,其中Docker和Kubernetes是企业容器运行时和容器编排的首要选择。然而,在应用容器和K8S过程中,大多数企业都遇到过不同程度的安全问题,如何保障容器安全,已成为企业最关心的问题。
华为云容器安全服务(Container Guard Service,CGS)能够扫描镜像中的漏洞与配置信息,帮助企业解决传统安全软件无法感知容器环境的问题;同时提供容器进程白名单、文件只读保护和容器逃逸检测功能,有效防止容器运行时安全风险事件的发生。
知识点扩展
- 镜像:
镜像是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据,其内容在构建之后也不会被改变。
- 容器:
容器是镜像的实例,容器可以被创建、启动、停止、删除、暂停等。
- 二者关系:
一个镜像可以启动多个容器。
应用可以包含一个或一组容器。
三大功能特性,守护容器安全
容器镜像安全
容器镜像安全功能可以扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。
容器安全策略
通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,确保容器以最小权限运行,从而提高系统和应用的安全性。
容器运行时安全
容器运行时安全功能实时监控节点中容器运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。
五大产品优势,高效管理容器
统一安全管理
统一管理CCE集群中所有节点上运行的容器与镜像的安全状态。
丰富漏洞库
漏洞库包含丰富的100000+漏洞,能够有效检测容器镜像漏洞。
容器防逃逸
内置10大类,100小类容器逃逸行为规则,有效检测容器逃逸。
轻量Agent
客户端以容器方式运行,CPU和内存占用率低,不影响其他容器运行。
满足等保安全合规
满足等保安全合规入侵防范条款和恶意代码防范条款。
满足多场景应用,为用户保驾护航
容器镜像安全
- 仓库镜像安全管理
容器安全服务与镜像仓库配合,为镜像仓库中的镜像提供漏洞扫描,恶意文件扫描,基线检查等能力。
- 运行镜像漏洞管理
容器安全服务扫描节点中所有正在运行的容器镜像,发现镜像中的漏洞并给出修复建议。
- 官方镜像漏洞扫描
对Docker官方镜像进行定时漏洞扫描,帮助用户在制作镜像前进行漏洞修复。
容器运行时安全
- 恶意程序检测
通过恶意程序库,有效检测挖矿、勒索、木马等恶意程序。
- 容器防逃逸
有效检测shocker攻击、进程提权、DirtyCow和文件暴力破解等逃逸行为。
- 进程白名单
有效组织异常进程、提权攻击、违规操作等安全风险事件的发生。
- 文件只读保护
将关键文件目录设为只读,保护容器内部的关键文件,避免被修改。
注:本文参考素材来自华为云官网
热门跟贴