容器安全服务 CGS
售前专业咨询

容器安全服务 CGS

容器安全服务 CGS

容器安全服务能够扫描容器镜像中的漏洞,以及提供容器安全策略设置和防逃逸功能.容器安全服务的核心功能能够满足入侵防范与恶意代码防范等保条款。

容器安全服务能够扫描容器镜像中的漏洞,以及提供容器安全策略设置和防逃逸功能.容器安全服务的核心功能能够满足入侵防范与恶意代码防范等保条款。

华为云容器安全服务已合并至企业主机安全(HSS)服务。HSS容器版提供更强大的容器安全防护功能。
为什么选择华为云容器安全服务 CGS
统一安全管理

统一管理CCE集群中所有节点上运行的容器与镜像的安全状态
丰富漏洞库

漏洞库包含丰富的100,000+漏洞,能够有效检测容器镜像漏洞
容器防逃逸

内置10大类,100小类容器逃逸行为规则,有效检测容器逃逸
轻量Agent

客户端以容器方式运行,CPU和内存占用率低,不影响其他容器运行
免费咨询
请填写您的联系方式,华为云专家免费帮您量身定制上云方案
内容不能为空,请重新输入
内容不能为空,请重新输入 电话格式输入不正确,请重新输入
免费咨询
精选活动

应用场景

容器镜像安全

即使在Docker Hub下载的官方镜像中也常常包含了漏洞,而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。


优势

  • 仓库镜像安全管理

    容器安全服务与镜像仓库配合,为镜像仓库中的镜像提供漏洞扫描,恶意文件扫描,基线检查等能力。

  • 运行镜像漏洞管理

    容器安全服务扫描节点中所有正在运行的容器镜像,发现镜像中的漏洞并给出修复建议。

  • 官方镜像漏洞扫描


    对Docker官方镜像进行定时漏洞扫描,帮助用户在制作镜像前进行漏洞修复。

建议搭配使用
容器镜像服务 SWR
云容器引擎 CCE

容器运行时安全

通常容器的行为是固定不变的,容器安全服务帮助企业制定容器行为的白名单,确保容器以最小权限运行,有效阻止容器安全风险事件的发生。


优势

  • 恶意程序检测

    通过恶意程序库,有效检测挖矿,勒索,木马等恶意程序

  • 进程白名单

    有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。

  • 文件只读保护

    将关键文件目录设为只读,保护容器内部的关键文件,避免被修改。

  • 容器防逃逸

    有效检测shocker攻击、进程提权、DirtyCow和文件暴力破解等逃逸行为。

建议搭配使用
云容器引擎 CCE

满足等保合规

容器安全服务的核心功能能够满足入侵防范与恶意代码防范等保条款,容器化部署的客户如果需要通过等保测评,必须购买容器安全服务。


优势

  • 满足入侵防范条款

    漏洞检测功能满足“应能发现可能存在的已知漏洞”;运行时安全功能满足“应能够检测到对重要节点进行入侵的行为”。

  • 满足恶意代码防范条款

    恶意文件扫描与异常程序检测功能满足“应安装防恶意代码软件或配置具有相应的功能软件”。

建议搭配使用
云容器引擎 CCE

产品新特性

功能描述

  • 容器镜像安全

    扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的黄金镜像

    扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的黄金镜像

  • 容器安全策略

    通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,确保容器以最小权限运行,从而提高系统和应用的安全性

    通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,确保容器以最小权限运行,从而提高系统和应用的安全性

  • 容器运行时安全

    监控节点中容器运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为

    监控节点中容器运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为

  • 镜像安全扫描(镜像仓库)
    镜像安全扫描(镜像仓库)

    对镜像仓库 SWR中的镜像进行安全扫描,发现镜像的漏洞、不安全配置和恶意代码

    对镜像仓库 SWR中的镜像进行安全扫描,发现镜像的漏洞、不安全配置和恶意代码

  • 镜像漏洞扫描(运行镜像)
    镜像漏洞扫描(运行镜像)

    对CCE容器中运行的镜像进行已知CVE漏洞等安全扫描

    对CCE容器中运行的镜像进行已知CVE漏洞等安全扫描

  • 镜像漏洞扫描(官方镜像)
    镜像漏洞扫描(官方镜像)

    定期对Docker官方镜像进行漏洞扫描

    定期对Docker官方镜像进行漏洞扫描

  • 进程白名单
    进程白名单

    将容器运行的进程设置为白名单,非白名单的进程启动将告警,有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。

    将容器运行的进程设置为白名单,非白名单的进程启动将告警,有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。

  • 文件保护
    文件保护

    容器中关键的应用目录(例如bin,lib,usr等系统目录)应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能,可以将这些目录设置为监控目录,有效预防文件篡改等安全风险事件的发生。

    容器中关键的应用目录(例如bin,lib,usr等系统目录)应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能,可以将这些目录设置为监控目录,有效预防文件篡改等安全风险事件的发生。

  • 容器逃逸检测
    容器逃逸检测

    从宿主机角度通过机器学习结合规则检测逃逸行为,简单精确,包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。

    从宿主机角度通过机器学习结合规则检测逃逸行为,简单精确,包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。

  • 异常程序检测
    异常程序检测

    检测违反安全策略的进程启动,以及挖矿,勒索,病毒木马等恶意程序

    检测违反安全策略的进程启动,以及挖矿,勒索,病毒木马等恶意程序

  • 文件异常检测
    文件异常检测

    检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件

    检测违反安全策略的文件异常访问,安全运维人员可用于判断是否有黑客入侵并篡改敏感文件

  • 容器环境检测
    容器环境检测

    检测容器启动异常、容器配置异常等容器环境异常

    检测容器启动异常、容器配置异常等容器环境异常

客户案例

新潮传媒 | 企业主机安全·容器安全·态势感知

新潮传媒通过使用华为云态势感知(SA)主机安全(HSS)、容器安全(CGS)服务产品为多网络节点提供安全防护。华为云以信息技术为支撑,致力于做最值得托付的企业服务平台,助力新潮传媒将好产品带进亿万家庭。

——新潮传媒安全负责人 范文胤
了解详情

帮助文档

新手入门

容器安全新手入门

用户指南

容器安全用户指南

常见问题

容器安全常见问题

1对1咨询专属顾问

1对1免费咨询华为云专属顾问,为您量身定制产品推荐方案
立即咨询

华为云咨询电话:950808或4000-955-988 转1

华为云咨询电话:950808或4000-955-988 转1

华为云专业的服务团队,致力于为您提供专业的售前购买咨询服务,及完善的售后技术服务,助您云上无忧