检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
集群异常行为 集群异常行为是指在集群环境中出现的异常行为,比如Pod创建或执行异常、枚举用户信息等,这些异常可能表明集群正在遭受攻击。 Pod异常行为 检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为,以及对现存pod执行的异常操作,一旦发现进行告警上报。 枚举用户信息
提供主机全攻击路径检测能力,能够实时、准确地感知黑客入侵事件,并提供入侵事件的响应手段,对业务系统“零”影响,有效应对APT攻击等高级威胁。 容器安全 容器镜像安全 即使在Docker Hub下载的官方镜像中也常常包含了漏洞,而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描,
请求Body参数 参数 是否必选 参数类型 描述 cluster_type 否 String cce集群类型: existing 存量集群 adding 新增集群 cluster_id 否 String 集群id cluster_name 是 String 集群名称 charging_mode
'"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; tcp_nopush
portscan_0002 : 秘密端口扫描 k8s_1001 : Kubernetes事件删除 k8s_1002 : 创建特权Pod k8s_1003 : Pod中使用交互式shell k8s_1004 : 创建敏感目录Pod k8s_1005 : 创建主机网络的Pod k8s_1006 : 创建主机Pid空间的Pod
容器防护限制所示。 表1 容器防护限制 类别 支持防护的容器类型 约束与限制 华为云 CCE集群容器 非集群纳管的容器 容器运行时限制:Docker、Containerd。 集群类型限制:CCE标准版、CCE Turbo版。 节点资源剩余要求:内存必须50MiB及以上,CPU必须200毫核(m)及以上。
置以及系统配置等进行检查,帮助用户识别不安全的配置项。 目前支持的检测标准及类型如下: Linux系统: 云安全实践:Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerO
Linux Windows Linux 检测基线 自定义勾选支持的检测标准及类型,详情如下: Linux系统: 云安全实践:Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerO
CCE集群开启安全服务异常 CCE集群支持一键开启企业主机安全,当用户开启企业主机安全后,系统将自动为集群内节点安装Agent并开启防护。 用户可在集群的“配置中心 > 配置概览”页面查看“安全服务”开启情况。 如果安全服务显示“部分防护”,表示部分集群节点开启安全服务失败,请参考如下步骤排查处理问题:
d_eps invoked_service 否 String 调用服务,默认hss,cce集成防护调用场景使用,包括: hss: hss服务 cce: cce服务,cce集成防护调用需要传参cce 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
容器安全防护方案 04:03 HSS的容器安全防护方案详解 企业主机安全 HSS 勒索防护方案 05:20 HSS的勒索病毒防护方案详解 云容器引擎 CCE 简介 07:25 云容器引擎简介 操作指导 企业主机安全 HSS 购买主机安全配额 02:44 购买主机安全配额 企业主机安全 HSS 在Linux主机中安装Agent
是否必选 参数类型 描述 cluster_info_list 是 Array of cluster_info_list objects 集群id列表 cluster_id_list 否 Array of strings 集群id列表 表5 cluster_info_list 参数
metadata: name: test-network-policy namespace: default spec: podSelector: #规则对具有role=db标签的Pod生效 matchLabels:
根据以下操作查看不同类型的审计日志。 图1 查看容器审计日志 查看集群容器审计 选择“集群容器审计”页签。 单击目标集群名称,进入集群容器审计详情页面,查看K8s审计日志、K8s事件、容器日志、容器运行指令的日志记录。 查看容器实例审计 选择“容器实例审计”页签。 单击目标容器实例名称,进入容器实例审计详情
n注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。 容器镜像阻断 在Docker环境中容器启动前,对镜像异常行为策略中指定的不安全容器镜像进行告警并阻断。 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。
sh/system: "yes" pod-security.kubernetes.io/audit: restricted pod-security.kubernetes.io/audit-version: latest pod-security.kubernetes
"apiGroups":["networking.k8s.io"]}]}{"metadata":{"namespace":"hss","name":"hssRoleBinding"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"RoleBinding"
力破解的攻击源IP;即使手动关闭后开启Windows防火墙,也可能导致HSS不能拦截账户暴力破解的攻击源IP。 容器 HSS暂仅支持为Docker和Containerd运行时的容器提供安全防护。 开启防护 根据您需要开启防护的版本,参考以下操作开启防护。 开启基础版/专业版/企业版/旗舰版防护
目标主机Agent状态必须为在线。 单次只能执行一条风险项验证,其他风险项需要等正在验证的风险项验证完成才能继续验证。 Linux支持验证的基线:Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、CentOS8、EulerO
调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
