容器安全功能特性
容器安全服务主要包含容器镜像安全、容器安全策略和容器运行时安全功能。
容器镜像安全
容器安全扫描镜像仓库的容器镜像,发现镜像中的漏洞、恶意文件、不安全配置等并给出修复建议,帮助用户得到一个安全的镜像。
须知:CGS支持对基于Linux操作系统制作的容器镜像进行检测。
|
功能项
|
功能描述
|
|---|---|
容器镜像漏洞 |
通过与漏洞库进行比对,检测并管理私有镜像仓库存在的漏洞,对当前镜像中存在的紧急漏洞进行提醒。 |
镜像恶意文件 |
检测镜像是否携带恶意文件(Trojan、Worm、Virus病毒和Adware垃圾软件等),帮助用户识别出存在的风险。 |
Web-CMS漏洞 |
通过对Web目录和文件进行检测,识别出Web-CMS漏洞,将存在风险的结果上报至管理控制台,并为您提供漏洞告警。 |
容器安全策略
通过配置安全策略,帮助企业制定容器进程白名单和文件保护列表,从而提高系统和应用的安全性。
|
功能项
|
功能描述
|
|---|---|
进程白名单 |
将容器运行的进程设置为白名单,非白名单的进程启动将告警,有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。 |
文件保护 |
容器中关键的应用目录(例如bin,lib,usr等系统目录)应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能,可以将这些目录设置为监控目录,有效预防文件篡改等安全风险事件的发生。 |
容器运行时安全
实时监控容器节点运行状态,发现挖矿、勒索等恶意程序,发现违反容器安全策略的进程运行和文件修改,以及容器逃逸等行为并给出解决方案。
|
功能项
|
功能描述
|
|---|---|
漏洞逃逸攻击 |
监控到容器内进程行为符合已知漏洞的行为特征时,触发逃逸漏洞攻击告警。 |
文件逃逸攻击 |
监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。 |
容器进程异常 |
● 容器恶意程序 监控容器内启动的容器进程的行为特征和进程文件指纹,如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 ● 容器异常进程 对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。 |
容器异常启动 |
监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。 支持以下容器环境检测: ● 禁止启动特权容器(privileged:true) ● 需要限制容器能力集(capabilities:[xxx]) ● 建议启用seccomp(seccomp=unconfined) ● 限制容器获取新的权限(no-new-privileges:false) ● 危险目录映射(mounts:[...]) |
高危系统调用 |
Linux系统调用是用户进程进入内核执行任务的请求通道。容器安全监控容器进程,如果发现进程使用了危险系统调用,触发高危系统调用告警。 |
敏感文件访问 |
监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 |
