五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

華為云容器安全-web容器安全


容器安全服務能夠掃描鏡像中的漏洞與配置信息,幫助企業(yè)解決傳統(tǒng)安全軟件無法感知容器環(huán)境的問題;同時提供容器進程白名單、文件只讀保護和容器逃逸檢測功能,有效防止容器運行時安全風險事件的發(fā)生。


容器鏡像安全

● 即使在Docker Hub下載的官方鏡像中也常常包含了漏洞,而研發(fā)人員在使用大量開源框架時更加劇了鏡像漏洞問題的出現(xiàn)。

● 容器鏡像安全對鏡像進行安全掃描,將鏡像中存在的各種風險(鏡像漏洞、帳號、惡意文件等)進行展示,提示用戶及時修改,消除安全隱患。

容器運行時安全

● 通常容器的行為是固定不變的,容器安全服務幫助企業(yè)制定容器行為的白名單,確保容器以最小權限運行,有效阻止容器安全風險事件的發(fā)生。

滿足等保合規(guī)

● 安全計算環(huán)境是等保合規(guī)的關鍵項,容器安全服務的核心功能夠滿足入侵防范與惡意代碼防范等保條款,能夠協(xié)助用戶保護容器安全、系統(tǒng)安全。

容器安全功能特性

容器安全服務主要包含容器鏡像安全、容器安全策略和容器運行時安全功能。

容器鏡像安全

容器安全掃描鏡像倉庫的容器鏡像,發(fā)現(xiàn)鏡像中的漏洞、惡意文件、不安全配置等并給出修復建議,幫助用戶得到一個安全的鏡像。

須知:CGS支持對基于Linux操作系統(tǒng)制作的容器鏡像進行檢測。

功能項
功能描述

容器鏡像漏洞

通過與漏洞庫進行比對,檢測并管理私有鏡像倉庫存在的漏洞,對當前鏡像中存在的緊急漏洞進行提醒。

鏡像惡意文件

檢測鏡像是否攜帶惡意文件(Trojan、Worm、Virus病毒和Adware垃圾軟件等),幫助用戶識別出存在的風險。

Web-CMS漏洞

通過對Web目錄和文件進行檢測,識別出Web-CMS漏洞,將存在風險的結果上報至管理控制臺,并為您提供漏洞告警。

容器安全策略

通過配置安全策略,幫助企業(yè)制定容器進程白名單和文件保護列表,從而提高系統(tǒng)和應用的安全性。

功能項
功能描述

進程白名單

將容器運行的進程設置為白名單,非白名單的進程啟動將告警,有效阻止異常進程、提權攻擊、違規(guī)操作等安全風險事件的發(fā)生。

文件保護

容器中關鍵的應用目錄(例如bin,lib,usr等系統(tǒng)目錄)應該設置文件保護以防止黑客進行篡改和攻擊。容器安全服務提供的文件保護功能,可以將這些目錄設置為監(jiān)控目錄,有效預防文件篡改等安全風險事件的發(fā)生。

容器運行時安全

實時監(jiān)控容器節(jié)點運行狀態(tài),發(fā)現(xiàn)挖礦、勒索等惡意程序,發(fā)現(xiàn)違反容器安全策略的進程運行和文件修改,以及容器逃逸等行為并給出解決方案。

功能項
功能描述

漏洞逃逸攻擊

監(jiān)控到容器內(nèi)進程行為符合已知漏洞的行為特征時,觸發(fā)逃逸漏洞攻擊告警。

文件逃逸攻擊

監(jiān)控發(fā)現(xiàn)容器進程訪問了宿主機系統(tǒng)的關鍵文件目錄(例如:“/etc/shadow”、“/etc/crontab”),則認為容器內(nèi)發(fā)生了逃逸文件訪問,觸發(fā)告警。即使該目錄符合容器配置的目錄映射規(guī)則,仍然會觸發(fā)告警。

容器進程異常

● 容器惡意程序

監(jiān)控容器內(nèi)啟動的容器進程的行為特征和進程文件指紋,如果特征與已定義的惡意程序吻合則觸發(fā)容器惡意程序告警。

● 容器異常進程

對于已關聯(lián)的容器鏡像啟動的容器,只允許白名單進程啟動,如果容器內(nèi)存在非白名單進程,觸發(fā)容器異常程序告警。

容器異常啟動

監(jiān)控新啟動的容器,對容器啟動配置選項進行檢測,當發(fā)現(xiàn)容器權限過高存在風險時觸發(fā)告警。

支持以下容器環(huán)境檢測:

● 禁止啟動特權容器(privileged:true)

● 需要限制容器能力集(capabilities:[xxx])

● 建議啟用seccomp(seccomp=unconfined)

● 限制容器獲取新的權限(no-new-privileges:false)

● 危險目錄映射(mounts:[...])

高危系統(tǒng)調(diào)用

Linux系統(tǒng)調(diào)用是用戶進程進入內(nèi)核執(zhí)行任務的請求通道。容器安全監(jiān)控容器進程,如果發(fā)現(xiàn)進程使用了危險系統(tǒng)調(diào)用,觸發(fā)高危系統(tǒng)調(diào)用告警。

敏感文件訪問

監(jiān)控容器內(nèi)已配置文件保護策略的容器鏡像文件狀態(tài)。如果發(fā)生文件修改事件則觸發(fā)文件異常告警。

容器安全常見問題

容器安全描常見問題

  • 鏡像、容器、應用的關系是什么?

    ● 鏡像是一個特殊的文件系統(tǒng),除了提供容器運行時所需的程序、庫、資源、配置等文件外,還包含了一些為運行時準備的配置參數(shù)(如匿名卷、環(huán)境變量、用戶等)。鏡像不包含任何動態(tài)數(shù)據(jù),其內(nèi)容在構建之后也不會被改變。

    ● 容器和鏡像的關系,像程序設計中的實例和類一樣,鏡像是靜態(tài)的定義,容器是鏡像運行時的實體。容器可以被創(chuàng)建、啟動、停止、刪除、暫停等。

    ● 一個鏡像可以啟動多個容器。

    ● 應用可以包含一個或一組容器。

  • 無服務授權權限和創(chuàng)建委托失敗的原因?

    ?IAM用戶進入容器安全服務控制臺界面時,發(fā)現(xiàn)服務授權頁面“同意授權”按鈕呈灰色狀態(tài),表示該IAM用戶無服務授權權限,請聯(lián)系擁有Security Administrator權限的系統(tǒng)管理員授予權限或使用帳號開通服務授權。

    創(chuàng)建委托失敗的原因:賬戶委托數(shù)量滿額。

    處理方式:登錄到“統(tǒng)一身份認證服務”管理控制臺,對委托進行刪除或聯(lián)系統(tǒng)一身份認證服務增加限額。

  • 容器安全服務的漏洞庫多久更新一次?

    ?容器安全服務實時獲取官方發(fā)布的漏洞信息,每天凌晨將漏洞更新至漏洞庫中并執(zhí)行全面的漏洞掃描和給出解決方案。您可根據(jù)自身業(yè)務情況進行修復或調(diào)整有風險的鏡像。

  • 容器安全服務支持多個帳號共享使用嗎?

    ?容器安全服務不支持多個帳號共享使用。例如,如果您在某個區(qū)域通過注冊華為云創(chuàng)建了2個帳號(“domain1”和“domain2”),當您在“domain1”帳號下購買了容器安全服務,則“domain2”帳號不能使用“domain1”的容器安全服務。

    在同一區(qū)域,一個帳號在IAM上創(chuàng)建的所有IAM用戶都可以共用該帳號下的容器安全服務。例如,您在某個區(qū)域通過注冊華為云創(chuàng)建了1個帳號(“domain1”),且“domain1”帳號在IAM中創(chuàng)建了2個IAM用戶(“sub-user01”、“sub-user02”),如果您授權了“sub-user01”和“sub-user02”用戶CGS的權限策略,則這2個IAM用戶都可以使用“domain1”的容器安全服務。