通过容器安全卫士服务,可以轻松应对各种云原生应用威胁和风险。
仪表盘
仪表盘通过图标可视化方式展示了镜像、容器、节点、镜像仓库、集群这些重要资产的数量统计信息、部署安全信息、以及安全威胁分布情况。可以更直观地显示各资产信息统计、漏洞信息统计、报警信息。使客户能够更快速的识别和了解威胁情况。
- 趋势和历史记录
提供可视化的界面和报告,以展示威胁情报的相关统计数据、趋势等信息,帮助决策者理解威胁情报的现状和趋势。 - 告警和事件管理
集成告警和事件管理系统,将安全事件和告警信息汇总展示在大屏幕上,并提供快速的事件处理和跟踪功能。 - 资产管理
展示每个资产的详细信息,包括集群资产、节点资产、命名空间、工作负载等资产,以帮助用户全面了解资产的特征和配置。 - 漏洞数据集成和可视化
将漏洞扫描结果数据进行集成,以可视化的方式展示漏洞分布、统计信息,帮助用户全面了解漏洞态势。
告警响应中心
系统实时监控容器的运行情况,能够对可能出现的所有异常行为进行捕获和发出告警,并针对不同的入侵行为给出响应的安全处理建议,可在响应中心中查看所有入侵事件具体信息。并支持在响应中心对不同状态的容器进行相应的操作改变其状态,包括:解除隔离、启动容器、隔离容器、杀容器、暂停容器、一键封堵。
- 支持多种风险行为监测
支持检测诸如启动特权容器、容器逃逸行为、读取敏感文件、启动恶意进程、挂载非法设备、映射敏感目录、反弹SHELL连接操作、修改命名空间等多种风险行为的检测。 - Pod隔离
支持对Kubernetes集群内Pod之间的通信进行网络隔离控制。 - ATT&CK模型视角展示
基于攻击者视角显示攻击各阶段信息,反映了攻击者攻击生命周期以及各个攻击阶段的目标。 - 一键封堵
当生产环境内出现异常IP可通过一键封堵功对IP进行封堵,防止造成更大的损害。
镜像安全
镜像作为容器运行的基础,如果存在安全隐患、风险问题,将直接影响到容器环境的安全性。面对镜像中可能存在的安全问题,需要对业务环境主机中和镜像仓库中的镜像资产,进行自动扫描或手动扫描来识别风险,对危险镜像基于策略进行阻断,对高危镜像提供可写入dockerfile的修复建议。支持对容器镜像制作过程、镜像运行、镜像发布进行全方位的监控和检测。提供了自动获取节点和仓库中的镜像并从CVE漏洞、CNNVD漏洞、木马病毒、可疑历史操作、敏感信息泄露、以及是否是可信任镜像等多个维度对镜像进行扫描。
- 镜像运行风险识别与处理
能够设置镜像运行的安全策略,不符合安全策略的镜像将禁止运行,安全策略包括不允许以root用户启动、禁止镜像中存在木马病毒、阻止存在特定软件漏洞的镜像等。 - 支持多种镜像仓库的适配
面对不同的客户使用场景,平台支持同步Harbor、JForg、Huawei、Registry等多种镜像仓库适配。 - 快速的镜像扫描
镜像扫描速度快,结果准确,10G镜像仅需10秒。 - 深入的镜像文件与软件包检测
在快速扫描的基础上增加扫描第三方依赖库、Web框架库和病毒木马等恶意文件检测,更加深入地保证镜像资产的安全。 - 支持一键生成镜像报告
镜像扫描完成后,用户可以一键生成镜像的合规检测报告,便于用户查看风险信息总览、风险镜像列表、漏洞列表、风险修复建议等信息。 - 安全溯源
实时检测镜像历史中引入的安全风险信息,包括镜像层的构建命令、操作时间、引入的安全问题等信息。
容器安全
容器运行时的安全状况是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面,现有手段无法快速发现针对容器层面的入侵行为。而传统云平台提供的管理平台虽可查看容器状态并进行容器隔离,但无法针对随时可能出现的异常行为进行持续监控与实时报警。若无法设置预警与实时报警,入侵者极有可能通过漏洞远程操作容器执行命令实现入侵,从而导致重要数据泄露。
支持对容器内行为进行检测。当发现容器逃逸行为、读取敏感信息、启动恶意进程、挂载非法设备、映射敏感目录、修改命名空间等恶意行为时,根据预设策略触发报警或阻断容器运行,并对发现异常的Pod进行隔离。
- 支持自定义策略设置
根据用户的生产场景支持对集群、命名空间、节点等维度设置检测规则。 - 容器文件防篡改
通过对容器内重要路径(多路径之间若存在包含关系,将自动去重后保存,默认防护路径及其下所有子路径)下的重要文件进行备份,并识别所有异常篡改文件的行为,及时发送报警并恢复文件。 - 弱口令检测
支持对包括但不限于mysql8、ssh、redis、tomcat、容器env等应用弱口令检测。 - 进程访问控制
通过进程访问控制策略对一个或多个容器进行进程监控,并通过配置进程名称、URL等信息来识别异常进程,及时告警或阻断。 - 数据取证
对容器运行进程进行监控并记录,在追溯风险行为来源时能够快速查找攻击源头,及时排错。 - 容器运行时监控
支持实时检测运行中的容器CPU占用、内存占用情况。
节点安全
集群部署后,运维人员需时刻关注集群内的master节点与node节点的在线情况,以及是否存在安全风险。针对存在安全风险的节点,需支持将风险信息生成报表,交由安全部门处理,保证节点上的资产安全运行。
- 节点入侵检测
支持对节点入侵事件的实时监测,包括主机反弹Shell、高危系统调用等。 - 节点扫描
支持设置扫描周期,按时扫描节点上的软件包是否存在漏洞,并给出修复建议。 - 支持自定义开启/关闭节点防护
支持自定义开启或关闭对节点的防护,关闭防护后当前节点上的所有资产将不再受保护。
网络可视化
对容器环境中网络流量进行绘图,打破网络黑洞,支持对进程、容器、pod、服务、主机级别的网络监测。通过对单个业务之间,业务组之间,以及租户之间的网络访问策略配置,实现业务之间隔离,来减小被入侵之后的影响范围;通过网络拓扑图,从网络层面判断入侵影响范围。
容器安全卫士自动检测发现Kubernetes集群内的运行容器,应用以及镜像,关联相应的安全风险进行汇总,展示安全风险的数量以及风险级别的分布。支持自动发现容器内进程之间、容器之间、POD之间、服务之间、节点之间的网络连接状态,展示连接的原地址,目的地址以及端口。并对异常连接进行预警。支持对Kubernetes集群内POD之间的通信进行网络隔离控制、隔离策略支持配置POD的间的访问规则、阻断来自其他命名空间的所有流量、允许来自外部客户端的流量等。
-
支持租户隔离
支持对Kubernetes集群内租户进行隔离控制,租户之间默认禁止直接通信,可以通过配置RBAC、POD策略、网络策略等实现租户间的访问策略。
-
支持自定义网络策略
支持对Kubernetes集群内的隔离策略管理,展示各个POD已经配置的隔离策略并能进行配置和应用。
-
可视化的展示视角
通过雷达可视图的展示方式,用户可以查看到容器内进程之间、容器之间、POD之间、服务之间、节点之间的网络进出站信息,对指定的网桥、网卡进行流量的DPI分析,有助于识别、阻断流向异常的流量。
-
多种类型策略支持
基于用户不同的使用环境与业务需求,支持多种策略类型,包括:
- IPtables模式(可针对不同的资源之间设置网络访问策略)。
- OVS模式(在OpenShift环境下, 针对不同的资源之间设置网络访问策略)。
- NetworkPolicy模式(为指定资源设置允许进出站访问)。