检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
入框。 图5 添加白名单输入框 在“类型”选框中单击下拉列表,选择添加白名单的类型,并填写对应类型的值。 图6 集群入侵检测策略 表5 集群入侵检测白名单参数说明 参数 示例 说明 类型 ip过滤 自定义添加在检测中需要忽略的类型。 支持的类型如下: ip过滤 pod名称过滤 image名称过滤
CGS新版(HSS新版) 容器资产指纹管理 × √ 容器节点管理 √ √ 私有镜像管理 √ √ 本地镜像管理 √ √ 官方镜像管理 √ × 共享镜像管理 × √ 镜像漏洞检测 √ √ 镜像恶意文件检测 √ √ 镜像基线检查 √ √ 漏洞逃逸攻击 √ √ 文件逃逸攻击 √ √ 容器进程异常
x86_rpm_install.sh中的安装命令适用于x86架构,rpm软件包管理的镜像,如CentOS、EulerOS、OpenSUSE、Fedora。 x86_deb_install.sh中的安装命令适用于x86架构,deb软件包管理的镜像,如Ubuntu、Debian。 arm_rpm_install
支持审计的类型 集群容器:K8s审计日志、K8s事件、容器日志、容器运行指令。 非集群容器:容器日志、容器运行指令。 SWR镜像仓:镜像仓日志。 应用场景 容器等保合规 容器等保三级安全要求,容器环境需具备存储和查询K8s审计日志、容器启停、容器内执行命令行、容器镜像使用等的记录。
在线修复主机漏洞时,需要连接Internet,通过外部镜像源提供漏洞修复服务。 Linux系统:如果主机无法访问Internet,或者外部镜像源提供的服务不稳定时,可以使用华为云提供的镜像源进行漏洞修复。为了保证漏洞修复成功,请在执行在线升级漏洞前,确认主机中已配置华为云提供的对应操作系统的镜像源,详细的配置操作请参见配置镜像源。
Server,ECS),容器运行在节点上。 镜像 镜像(Image)是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据,其内容在构建之后也不会被改变。 容器 容器(Container)是镜像的实例,容器可以被创建、启动、停止、删除、暂停等。
HSS.0001 参数不合法 参数不合法 请检查参数是否合法 400 HSS.0002 解析请求失败 解析请求失败 请联系技术支持 400 HSS.0010 拒绝访问 拒绝访问 请检查参数是否合法 400 HSS.0011 请求资源不存在 请求资源不存在 请检查参数是否合法 400
选择“容器实例审计”页签。 单击目标容器实例名称,进入容器实例审计详情页面,查看容器日志、容器运行指令的日志记录。 查看镜像仓日志审计 选择镜像仓日志审计页签,查看镜像仓日志审计的记录。 父主题: 容器审计
资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Regio
√ √ √ 容器镜像安全 容器镜像安全支持扫描镜像仓库与正在运行的容器镜像,发现镜像中的漏洞、恶意文件等并给出修复建议,帮助用户得到一个安全的镜像。 表9 容器镜像安全功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 SWR镜像仓库漏洞 通过与漏
确认无误,单击“下一步”,配置备份数据保留规则,选择不同的保留类型会配置不同的参数。 “保留类型”:“按数量” 配置备份规则参数说明如表 按数量配置保留规则参数说明所示。 图3 按数量配置保留规则 表2 按数量配置保留规则参数说明 参数名称 参数说明 取值样例 配置详情 配置保留最新备份的数量。
置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数,对容器进行权限设置。如果没有正确设置,可
卸载插件 当您无需使用镜像阻断功能,您可以参考本章节卸载Docker插件。 卸载Docker插件 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航树选择“安装与配置 > 插件配置”,单击“插件卸载指南”,在
/v5/{project_id}/event/events 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID 表2 Query参数 参数 是否必选 参数类型 描述 category 是 String 事件类别,包含如下: host : 主机安全事件 container
/v5/{project_id}/event/isolated-file 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 主机所属的企业项目ID。
安装插件 开通容器安全防护后,如果您需要使用镜像阻断功能,请参照本章节安装Docker插件。 安装插件 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。 在左侧导航树选择“安装与配置 > 插件配置”,单击“插件安装指南
效应对APT攻击等高级威胁。 容器安全 容器镜像安全 即使在Docker Hub下载的官方镜像中也常常包含了漏洞,而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描,将镜像中存在的各种风险(镜像漏洞、账号、恶意文件等)进行展示,提示用户及时修改,消除安全隐患。
在漏洞白名单配置区域,单击“新增规则”。 根据界面提示配置白名单规则,相关参数说明请参见表 漏洞白名单规则参数说明。 图12 配置白名单规则 表3 漏洞白名单规则参数说明 参数 说明 类型选择 选择添加白名单的漏洞类型: Linux系统漏洞 Windows系统漏洞 Web-CMS软件漏洞
容器管理 查看容器节点防护状态 导出容器节点列表 管理本地镜像 管理仓库镜像 管理CI/CD镜像 查看容器信息 处置风险容器 卸载集群Agent 关闭容器版防护 父主题: 资产管理
upgradeOrder swr镜像仓库基线检查批量导出 hss batchExportBaselineTask 修改镜像的自定义弱口令 hss changeExtendedWeakPassword 镜像仓库镜像批量扫描 hss batchScanSwrImage 本地镜像扫描 hss batchScanLocalImage
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
