容器安全服务 能够扫描 容器镜像 中的漏洞,以及提供 容器安全 策略设置和防逃逸功能.容器安全服务的核心功能能够满足入侵防范与恶意代码防范等保条款。
容器 镜像 安全
即使在Docker Hub下载的官方镜像中也常常包含了漏洞,而研发人员在使用大量 开源 框架时更加剧了镜像漏洞问题的出现。
优势
仓库镜像安全管理
容器安全服务与镜像仓库配合,为镜像仓库中的镜像提供 漏洞扫描 ,恶意文件扫描,基线检查等能力。
运行镜像漏洞管理
容器安全服务扫描节点中所有正在运行的容器镜像,发现镜像中的漏洞并给出修复建议。
官方镜像漏洞扫描
对Docker官方镜像进行定时漏洞扫描,帮助用户在制作镜像前进行漏洞修复。
容器运行时安全
通常容器的行为是固定不变的,容器安全服务帮助企业制定容器行为的白名单,确保容器以最小权限运行,有效阻止容器安全风险事件的发生。
优势
恶意程序检测
通过恶意程序库,有效检测挖矿,勒索,木马等恶意程序
进程白名单
有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。
文件只读保护
将关键文件目录设为只读,保护容器内部的关键文件,避免被修改。
容器防逃逸
有效检测shocker攻击、进程提权、DirtyCow和文件暴力破解等逃逸行为。
满足等保合规
容器安全服务的核心功能能够满足入侵防范与恶意代码防范等保条款,容器化部署的客户如果需要通过等保测评,必须购买容器安全服务。
优势
满足入侵防范条款
漏洞检测功能满足“应能发现可能存在的已知漏洞”;运行时安全功能满足“应能够检测到对重要节点进行入侵的行为”。
满足恶意代码防范条款
恶意文件扫描与异常程序检测功能满足“应安装防恶意代码软件或配置具有相应的功能软件”。