检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
容器集群防护功能支持在容器镜像启动时检测其中存在的不合规基线、漏洞和恶意文件,并可根据检测结果告警和阻断未授权或含高危安全风险的容器镜像运行。 用户可根据自身业务场景灵活配置容器集群防护策略,加固集群安全防线,防止含有漏洞、恶意文件和不合规基线等安全威胁的镜像部署到集群,降低容器生产环境的安全风险。
开启容器集群防护 容器集群防护可在容器镜像启动时检测其中存在的基线、漏洞和恶意文件风险,并支持告警和阻断不安全容器镜像的运行。您可以开启容器集群防护,提升容器集群的风险防御能力,保护容器资产安全。 约束限制 开启容器集群防护后,需要配置防护策略才能成功启动集群防护,配置防护策略操作请参见配置容器集群防护策略。
资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Regio
代理服务器的镜像需选择:可使用yum命令的Linux镜像;推荐使用HCE镜像。 创建代理服务器 登录控制台,进入购买弹性云服务器页面。 在购买弹性云服务页面,设置购买参数。 CPU架构:此处示例选择“x86计算”。 实例:此处示例选择“c6.xlarge.2”。 镜像:此处示例选择“公共镜像
效应对APT攻击等高级威胁。 容器安全 容器镜像安全 即使在Docker Hub下载的官方镜像中也常常包含了漏洞,而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描,将镜像中存在的各种风险(镜像漏洞、账号、恶意文件等)进行展示,提示用户及时修改,消除安全隐患。
什么是容器安全? 容器安全能够扫描镜像中的漏洞与配置信息,帮助企业解决传统安全软件无法感知容器环境的问题;同时提供容器进程白名单、容器文件监控、容器信息收集和容器逃逸检测功能,有效防止容器运行时安全风险事件的发生。 父主题: 产品咨询
引擎用户指南》。 容器镜像服务 容器镜像服务(Software Repository for Container,SWR)是一种支持容器镜像全生命周期管理的服务,提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务,更多信息请参见《容器镜像服务用户指南》。企业主机安全
选择集群的防护范围。 当选择镜像阻断策略时,需要额外设置镜像、标签防护范围。 - 加白名单(可选) 填写需要加入白名单的镜像名称。填写格式为“镜像名称:镜像版本”,镜像名称只能包含数字、字母、下划线、中划线、点;多个镜像名称以换行符进行区分。 填写示例如下: 单个镜像 image:1.0
为华为云自建集群安装Agent 操作场景 本指导适用于在可访问SWR镜像仓的华为云自建集群上安装Agent。按照本指导配置完成后,HSS将自动在集群节点上安装Agent,并能够随集群扩容自动为新节点安装Agent,在集群缩容时同步卸载Agent。 步骤一:准备kubeconfig文件
√ √ √ 容器镜像安全 容器镜像安全支持扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。 表9 容器镜像安全功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 SWR镜像仓库漏洞 通过与漏
请确认主机是否可正常连接外网: 是:镜像源配置错误,请参考配置镜像源,更新镜像源后,重新修复漏洞。 否:请保证您的主机可以正常连接外网后,重新修复漏洞。 There are no enabled repositories 未配置可用的源 失败原因表示是镜像源配置错误,请参考配置镜像源,更新镜像源后,重新修复漏洞。
卸载插件 当您无需使用镜像阻断功能,您可以参考本章节卸载Docker插件。 卸载Docker插件 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航树选择“安装与配置 > 插件配置”,单击“插件卸载指南”,在
修改集群Agent安装信息 操作场景 如遇下列情况您可以修改接入信息: 通过非CCE集群(私网)模式接入时,已完成镜像仓信息配置并生成命令,但未在集群节点上执行命令。可参考本章节进入修改接入信息的页面,查看并执行后续操作。 通过非CCE集群(公网)模式接入时,已完成接入信息配置并
启的功能及说明如表 容器节点防护功能说明 表4 容器节点防护功能说明 功能 说明 容器镜像安全扫描 容器镜像安全扫描功能能够扫描镜像中的漏洞、恶意文件等信息,建议您定期扫描,以便您能及时处理镜像安全风险。 勒索病毒防护 勒索病毒入侵主机后,会对主机数据进行加密勒索,导致主机业务中
安装插件 开通容器安全防护后,如果您需要使用镜像阻断功能,请参照本章节安装Docker插件。 安装插件 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航树选择“安装与配置 > 插件配置”,单击“插件安装指南
upgradeOrder swr镜像仓库基线检查批量导出 hss batchExportBaselineTask 修改镜像的自定义弱口令 hss changeExtendedWeakPassword 镜像仓库镜像批量扫描 hss batchScanSwrImage 本地镜像扫描 hss batchScanLocalImage
步骤四:为第三方私网集群安装Agent 集群所使用的镜像仓区分公网镜像仓和私网镜像仓: 公网镜像仓:只要能连接外网,都可以访问的镜像仓库,通常由第三方提供,企业付费使用。 私网镜像仓:企业自行部署和维护的镜像仓库,只有授权用户才能访问。 根据您的镜像仓类型,选择以下方式为集群安装Agent。 公网镜像仓 登录管理控制台。
略。 表6 镜像风险扣分标准及提高评分的方法 分类 安全扣分项 影响HSS版本 单项扣分值 是否按风险个数叠加计算扣分 提高评分方法 存在风险镜像 存在高风险的镜像 容器版 3 √ 重新制作镜像后扫描镜像,更新评分。 存在中风险的镜像 容器版 1 √ 存在中风险的镜像 容器版 0
Server,ECS),容器运行在节点上。 镜像 镜像(Image)是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据,其内容在构建之后也不会被改变。 容器 容器(Container)是镜像的实例,容器可以被创建、启动、停止、删除、暂停等。
器日志、容器运行指令。 非集群容器:容器日志、容器运行指令。 SWR镜像仓:镜像仓日志。 应用场景 容器等保合规 容器等保三级安全要求,容器环境需具备存储和查询K8s审计日志、容器启停、容器内执行命令行、容器镜像使用等的记录。 容器环境异常事件排查分析 当容器环境出现异常操作或活
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
