云服务器内容精选
-
CGS权限 默认情况下,系统管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 CGS部署时通过物理区域划分,为项目级服务,授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问CGS时,需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对CGS服务,系统管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。CGS支持的授权项请参见CGS权限及授权项。 表1 CGS系统角色 系统角色/策略名称 描述 类别 依赖关系 CGS Administrator 容器安全服务 (CGS)系统管理员,拥有该服务下的所有权限。 系统角色 依赖Tenant Guest策略,在同项目中勾选依赖的策略。 CGS FullAccess 容器安全 服务所有权限。 系统策略 无。 CGS ReadOnlyAccess 容器安全服务只读访问权限,拥有该权限的用户仅能查看容器安全服务。 系统策略 无。
-
容器运行时安全 容器运行时安全功能实时监控节点中容器运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。 表3 容器运行时安全 功能项 功能描述 检测周期 容器逃逸检测 从宿主机角度通过机器学习结合规则检测逃逸行为,简单精确,包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。 实时检测 高危系统调用 检测容器内发起的可能引起安全风险的Linux系统调用。 实时检测 异常程序检测 检测违反安全策略的进程启动,以及挖矿、勒索、病毒木马等恶意程序。 实时检测 文件异常检测 检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 实时检测 容器环境检测 检测容器启动异常、容器配置异常等容器环境异常。 实时检测
-
部署架构 容器安全服务部署架构如图2所示,关键组件功能说明如表1所示。 图2 容器安全服务部署架构 表1 容器安全服务关键组件功能说明 组件 说明 CGS Container CGS作为一个容器运行在每个容器节点(主机)上,负责节点上所有容器的镜像 漏洞扫描 ,安全策略实施和异常事件收集。 管理Master 负责管理与维护CGS Container。 安全智能 安全智能是安全信息知识库,用于获取漏洞库、恶意程序库等更新,以及大数据AI训练模型等。 管理控制台 用户通过管理控制台使用容器安全服务。
-
相关概念 镜像 镜像(Image)是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据,其内容在构建之后也不会被改变。 容器 容器(Container)是镜像的实例,容器可以被创建、启动、停止、删除、暂停等。 镜像、容器和应用的关系说明如图1所示。 一个镜像可以启动多个容器。 应用可以包含一个或一组容器。 图1 镜像、容器、应用的关系
-
容器镜像安全 容器镜像安全功能可扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。 什么是镜像详情请参见镜像概述。 镜像、容器、原因的关系详情请参见镜像、容器、应用的关系是什么? CGS支持对基于Linux操作系统制作的容器镜像进行检测。 表1 容器镜像安全 功能项 功能描述 检测周期 镜像安全扫描(私有镜像仓库) 支持对私有镜像仓库(SWR中的自有镜像)进行安全扫描,发现镜像的漏洞、不安全配置和恶意代码。 检测范围如下: 漏洞扫描 对SWR自有镜像进行已知CVE漏洞等安全扫描,帮助用户识别出存在的风险。 恶意文件 检测和发现私有镜像是否存在Trojan、Worm、Virus病毒和Adware垃圾软件等类型的恶意文件。 基线检查 检测私有镜像的配置合规项目,帮助用户识别不安全的配置项。 软件信息 统计和展示私有镜像软件。 文件信息 统计和展示私有镜像中不归属于软件列表的文件。 每日凌晨自动检测 手动检测 镜像漏洞扫描(本地镜像) 对CCE容器中运行的镜像进行已知CVE漏洞等安全扫描,帮助用户识别出存在的风险。 实时检测 镜像漏洞扫描(官方镜像仓库) 定期对Docker官方镜像进行漏洞扫描。 -
-
容器安全策略 通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,确保容器以最小权限运行,从而提高系统和应用的安全性。 表2 容器安全策略 功能项 功能描述 检测周期 进程白名单 将容器运行的进程设置为白名单,非白名单的进程启动将告警,有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。 实时检测 文件保护 容器中关键的应用目录(例如bin,lib,usr等系统目录)应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能,可以将这些目录设置为监控目录,有效预防文件篡改等安全风险事件的发生。 实时检测
-
服务版本说明 容器安全服务提供了企业版版本。支持的功能如表1。详细的功能介绍,请参见功能特性。 企业版提供更多种类的检测和监测功能,包含集群防护、镜像漏洞检测及修复、基线检查、恶意文件、容器运行时安全、安全配置等功能。用户购买容器安全防护配额后,即可使用企业版功能。 表1 服务版本功能说明 服务功能 功能项 企业版 (√:支持;×:不支持) 集群防护 集群防护 √ 本地镜像 本地镜像漏洞扫描 √ 私有镜像 私有镜像漏洞扫描 √ 私有镜像恶意文件 √ 私有镜像软件信息 √ 私有镜像文件信息 √ 私有镜像基线检查 √ 官方镜像 官方镜像漏洞扫描 √ 运行时安全 逃逸检测 √ 高危系统调用 √ 异常程序检测 √ 文件异常检测 √ 容器环境检测 √ 安全配置 进程白名单 √ 文件保护 √
-
修订记录 发布日期 修改说明 2021-07-09 第十七次正式发布。 服务入口刷新。 2020-10-20 第十六次正式发布。 新增产品优势。 新增应用场景。 服务版本说明,优化相关内容描述。 计费说明,优化计费项说明。 2020-08-26 第十五次正式发布。 计费说明,优化相关内容描述。 2020-05-21 第十四次正式发布。 计费说明,下线宽限期内容。 2020-05-20 第十三次正式发布。 新增计费说明。 2020-04-20 第十二次正式发布。 功能特性,优化相关内容描述。 服务版本说明,新增功能描述。 2020-04-07 第十一次正式发布。 CGS权限管理,优化相关内容描述。 2020-02-28 第十次正式发布。 新增服务版本说明。 2020-02-21 第九次正式发布。 CGS权限管理,新增细粒度策略。 2019-12-18 第八次正式发布。 与其他云服务的关系,优化相关内容描述。 2019-10-24 第七次正式发布。 CGS权限管理,优化相关内容描述。 2019-08-13 第六次正式发布。 什么是容器安全服务,优化相关内容描述。 2019-06-24 第五次正式发布。 什么是容器安全服务,增加相关内容描述。 2019-05-30 第四次正式发布。 与其他云服务的关系,优化相关内容描述。 2019-05-27 第三次正式发布。 新增CGS权限管理。 2018-11-02 第二次正式发布。 与其他服务的关系章节,增加与 统一身份认证 服务的关系。 2018-10-18 第一次正式发布。
-
与 云审计 服务的关系 云审计服务(Cloud Trace Service, CTS )记录容器安全服务相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。 表1 云审计服务支持的CGS操作列表 操作名称 资源类型 事件名称 集群开启防护 cgs openClusterProtect 集群关闭防护 cgs closeClusterProtect 添加策略 cgs addPolicy 编辑策略 cgs modifyPolicy 删除策略 cgs deletePolicy 镜像应用策略 cgs imageApplyPolicy 忽略漏洞影响的所有镜像 cgs ignoreVul 取消忽略漏洞影响的所有镜像 cgs cancelIgnoreVul 忽略漏洞影响的镜像 cgs ignoreImageVul 取消忽略漏洞影响的镜像 cgs cancelIgnoreImageVul 授权访问 cgs registerCgsAgency 手动执行镜像扫描 cgs scanPrivateImage 从SWR拉取镜像并执行扫描 cgs syncSwrPrivateImage
-
如何使用 容器安全服务使用流程说明如表1所示。 表1 容器安全服务使用流程说明 序号 子流程 说明 1 开启集群防护 开启防护后即可对集群中所有节点上的镜像和正在运行的容器进行实时检测。 2 (可选)设置安全策略 设置安全策略并将策略应用在镜像上,能有效预防容器运行时安全风险事件的发生。 3 查看漏洞 查看镜像上存在的漏洞,并判断是否需要“忽略”漏洞。 查看容器运行时安全详情 查看容器运行时的异常行为。 父主题: 访问与使用
-
与云容器引擎的关系 云容器引擎(Cloud Container Engine,CCE)基于云服务器快速构建高可靠的容器集群,将节点纳管到集群,容器安全服务通过在集群上安装容器安全Shield,为集群中所可用有节点上的容器应用提供防护。 云容器引擎提供高可靠、高性能的企业级容器应用管理服务,支持Kubernetes社区原生应用和工具,简化云上自动化容器运行环境搭建。更多信息请参见《云容器引擎用户指南》。
-
错误码 当您调用API时,如果遇到“APIGW”开头的错误码,请参见API网关错误码进行处理。 更多服务错误码请参见API错误中心。 状态码 错误码 错误信息 描述 处理措施 400 HSS.0001 invalid param error 参数不合法 请检查参数是否合法 500 HSS.0041 Query host extend info error 查询信息出错 请检查参数是否合法 父主题: 附录
-
调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目信息API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”,其中{Endpoint}为IAM的终端节点,可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。 响应示例如下,其中projects下的“id”即为项目ID。 { "projects": [ { "domain_id": "65382450e8f64ac0870cd180d14e684b", "is_domain": false, "parent_id": "65382450e8f64ac0870cd180d14e684b", "name": "xxxxxxxx", "description": "", "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects/a4a5d4098fb4474fa22cd05f897d6b99" }, "id": "a4a5d4098fb4474fa22cd05f897d6b99", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects" }}
-
响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 total_num Integer 容器节点总数 data_list Array of ContainerNodeInfo objects 容器节点列表 表5 ContainerNodeInfo 参数 参数类型 描述 host_id String 节点id host_name String 节点(服务器)名称 host_status String 服务器状态,包含如下4种。 ACTIVE :正在运行。 SHUTOFF :关机。 BUILDING :创建中。 ERROR :故障。 agent_status String Agent状态,包含如下3种。 not_register :未注册。 online :在线。 offline :离线。 protect_status String 防护状态,包含如下2种。 closed :关闭。 opened :开启。
-
响应示例 状态码: 200 success response { "total_num" : 1, "data_list" : [ { "host_id" : "caa958ad-a481-4d46-b51e-6861b8864515", "host_name" : "test", "host_status" : "ACTIVE", "agent_status" : "not_register", "protect_status" : "opened" } ]}
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
