容器安全服务 （Container Guard Service， CGS ）能够扫描 容器镜像 中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供 容器安全 策略和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

产品优势

统一安全管理：统一管理CCE集群中所有节点上运行的容器与 镜像 的安全状态。

丰富漏洞库：漏洞库包含丰富的100,000+漏洞，能够有效检测容器镜像漏洞。

容器防逃逸：内置10大类，100小类容器逃逸行为规则，有效检测容器逃逸。

轻量Agent：客户端以容器方式运行，CPU和内存占用率低，不影响其他容器运行。

功能描述

容器镜像安全

扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的黄金镜像。

镜像安全扫描（镜像仓库）：对镜像仓库 SWR中的镜像进行安全扫描，发现镜像的漏洞、不安全配置和恶意代码

镜像 漏洞扫描 （运行镜像）：对CCE容器中运行的镜像进行已知CVE漏洞等安全扫描

镜像漏洞扫描（官方镜像）：定期对Docker官方镜像进行漏洞扫描

容器安全策略 

通过配置安全策略，帮助企业制定容器进程白名单和文件保护列表，确保容器以最小权限运行，从而提高系统和应用的安全性。

进程白名单：将容器运行的进程设置为白名单，非白名单的进程启动将告警，有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。

文件保护：容器中关键的应用目录（例如bin，lib，usr等系统目录）应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能，可以将这些目录设置为监控目录，有效预防文件篡改等安全风险事件的发生。

容器运行时安全 

监控节点中容器运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为。

容器逃逸检测：从宿主机角度通过机器学习结合规则检测逃逸行为，简单精确，包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。

异常程序检测：检测违反安全策略的进程启动，以及挖矿，勒索，病毒木马等恶意程序

文件异常检测：检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件

容器环境检测：检测容器启动异常、容器配置异常等容器环境异常

应用场景

容器镜像安全

即使在Docker Hub下载的官方镜像中也常常包含了漏洞，而研发人员在使用大量 开源 框架时更加剧了镜像漏洞问题的出现。

优势

仓库镜像安全管理：容器安全服务与镜像仓库配合，为镜像仓库中的镜像提供漏洞扫描，恶意文件扫描，基线检查等能力。

运行镜像漏洞管理：容器安全服务扫描节点中所有正在运行的容器镜像，发现镜像中的漏洞并给出修复建议。

官方镜像漏洞扫描：对Docker官方镜像进行定时漏洞扫描，帮助用户在制作镜像前进行漏洞修复。

容器运行时安全

通常容器的行为是固定不变的，容器安全服务帮助企业制定容器行为的白名单，确保容器以最小权限运行，有效阻止容器安全风险事件的发生。

优势

恶意程序检测：通过恶意程序库，有效检测挖矿，勒索，木马等恶意程序

进程白名单：有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。

文件只读保护：将关键文件目录设为只读，保护容器内部的关键文件，避免被修改。

容器防逃逸：有效检测shocker攻击、进程提权、DirtyCow和文件暴力破解等逃逸行为。

满足等保合规

容器安全服务的核心功能能够满足入侵防范与恶意代码防范等保条款，容器化部署的客户如果需要通过等保测评，必须购买容器安全服务。

优势

满足入侵防范条款：漏洞检测功能满足“应能发现可能存在的已知漏洞”；运行时安全功能满足“应能够检测到对重要节点进行入侵的行为”。

满足恶意代码防范条款：恶意文件扫描与异常程序检测功能满足“应安装防恶意代码软件或配置具有相应的功能软件”。