通过容器安全卫士服务，可以轻松应对各种云原生应用威胁和风险。

仪表盘

仪表盘通过图标可视化方式展示了镜像、容器、节点、镜像仓库、集群这些重要资产的数量统计信息、部署安全信息、以及安全威胁分布情况。可以更直观地显示各资产信息统计、漏洞信息统计、报警信息。使客户能够更快速的识别和了解威胁情况。

• 趋势和历史记录
  提供可视化的界面和报告，以展示威胁情报的相关统计数据、趋势等信息，帮助决策者理解威胁情报的现状和趋势。

• 告警和事件管理
  集成告警和事件管理系统，将安全事件和告警信息汇总展示在大屏幕上，并提供快速的事件处理和跟踪功能。

• 资产管理
  展示每个资产的详细信息，包括集群资产、节点资产、命名空间、工作负载等资产，以帮助用户全面了解资产的特征和配置。

• 漏洞数据集成和可视化
  将漏洞扫描结果数据进行集成，以可视化的方式展示漏洞分布、统计信息，帮助用户全面了解漏洞态势。

网络可视化

对容器环境中网络流量进行绘图，打破网络黑洞，支持对进程、容器、pod、服务、主机级别的网络监测。通过对单个业务之间，业务组之间，以及租户之间的网络访问策略配置，实现业务之间隔离，来减小被入侵之后的影响范围；通过网络拓扑图，从网络层面判断入侵影响范围。

容器安全卫士自动检测发现Kubernetes集群内的运行容器，应用以及镜像，关联相应的安全风险进行汇总，展示安全风险的数量以及风险级别的分布。支持自动发现容器内进程之间、容器之间、POD之间、服务之间、节点之间的网络连接状态，展示连接的原地址，目的地址以及端口。并对异常连接进行预警。支持对Kubernetes集群内POD之间的通信进行网络隔离控制、隔离策略支持配置POD的间的访问规则、阻断来自其他命名空间的所有流量、允许来自外部客户端的流量等。

• 支持租户隔离

  支持对Kubernetes集群内租户进行隔离控制，租户之间默认禁止直接通信，可以通过配置RBAC、POD策略、网络策略等实现租户间的访问策略。

• 支持自定义网络策略

  支持对Kubernetes集群内的隔离策略管理，展示各个POD已经配置的隔离策略并能进行配置和应用。

• 可视化的展示视角

  通过雷达可视图的展示方式，用户可以查看到容器内进程之间、容器之间、POD之间、服务之间、节点之间的网络进出站信息，对指定的网桥、网卡进行流量的DPI分析，有助于识别、阻断流向异常的流量。

• 多种类型策略支持

  基于用户不同的使用环境与业务需求，支持多种策略类型，包括：

  • IPtables模式（可针对不同的资源之间设置网络访问策略）。

  • OVS模式（在OpenShift环境下， 针对不同的资源之间设置网络访问策略）。

  • NetworkPolicy模式（为指定资源设置允许进出站访问）。

资产中心

对镜像、仓库、容器、主机、微服务、kubernetes配置信息等容器相关信息进行自动采集，统一可视化管理，对容器风险一目了然，时刻掌握容器资产变化，使安全不落后于业务。消除安全与运维之间的信息壁垒，使业务环境内各项资产对安全用户清晰可见。
细粒度、结构化的资产清点助力安全用户及时发现容器、集群环境中可能存在的的风险隐患，提前进行预防、修复，并在入侵事件发生时帮助安全用户及时定位受损资产信息，快速进行响应处理以免恶意事件扩散使更多资产受到感染。
资产管理类型包括容器、镜像、仓库、主机、POD等，为用户提供容器内资产的分类视图，支持对每一类资产进行数据分级聚合展示，实现容器资产的全面可视化，帮助用户更直观地了解当前系统内的资产情况。

• 资产管理
  系统资产数据持续更新，每日及时、自动上报资产数据。基于历史清点的数据，每次只清点新启动的进程信息，极大降低对服务性能的消耗。

• 资产可视化
  系统支持清点的资产种类包括容器、镜像、Registry、POD等，为用户提供容器内资产的分类视图，支持对每一类资产进行数据分级聚合展示，实现容器资产的全面可视化。

• 资产更新
  用户可根据使用场景设置资产的更新周期，包括资产的范围。

告警响应

系统实时监控容器的运行情况，能够对可能出现的所有异常行为进行捕获和发出告警，并针对不同的入侵行为给出响应的安全处理建议，可在响应中心中查看所有入侵事件具体信息。并支持在响应中心对不同状态的容器进行相应的操作改变其状态，包括：解除隔离、启动容器、隔离容器、杀容器、暂停容器、一键封堵。

• 支持多种风险行为监测
  支持检测诸如启动特权容器、容器逃逸行为、读取敏感文件、启动恶意进程、挂载非法设备、映射敏感目录、反弹SHELL连接操作、修改命名空间等多种风险行为的检测。

• Pod隔离
  支持对Kubernetes集群内Pod之间的通信进行网络隔离控制。

• ATT&CK模型视角展示
  基于攻击者视角显示攻击各阶段信息，反映了攻击者攻击生命周期以及各个攻击阶段的目标。

• 一键封堵
  当生产环境内出现异常IP可通过一键封堵功对IP进行封堵，防止造成更大的损害。

安全合规

在业务系统上线运行之前，应对业务系统所在容器、集群以及容器原镜像进行合规检测，以防止不安全的配置导致容器逃逸或者集群入侵事件。

提供了对容器及集群进行合规审计，支持主流的CIS安全检测标准。基于产品提供可视化的基线检测结果和修复建议，用户可以自行修复不合规的检测项。根据用户的生产场景支持自定义合规检测项。

• 支持多种系统合规CIS检测
  支持Docker CIS、Kubernetes CIS合规、Centos CIS、Ubuntu CIS、OpenShift合规等多种系统合规项检测，并支持快速扩展，满足不同场景的需求。

• 支持多种自定义检测项
  用户可根据各行业安全标准，自定义配置安全合规检测项。灵活适应组织或行业的安全合规需求，提供高度个性化的定制选择。

• 支持一键导出合规检测结果
  系统基线检测扫描后，用户快速一键生成基线的合规检测报告。

• 深入可视化的结果展示
  合规基线检测结果可视化列表呈现，用户可以清晰看到每一个检查项的说明、通过情况以及检测详情信息。帮助用户快速了解基线检测未通过的原因，及时对容器相关配置进行修改更新。

• 多视角合规审计
  合规基线支持多视角查看包括资产视角、合规视角，用户可在镜像、容器、节点、资产内查看当前资产的基线检测项，也可以在合规视角内查当前合规项内存在哪些不合规的资产。

• 持续安全检查
  系统提供持续安全检查功能，通过自动扫描、监控机制。系统实时检测云原生环境的合规性，确保符合CIS基准和最佳实践。

IaC安全

在kubernetes系统中，各类资源均需要通过编排文件构建，编排文件编写是否规范，将直接影响到构建资源的安全性、规范性与可用性。对于部署资源所编写的编排文件，系统支持自动接入，自动扫描，根据扫描结果指出编排文件中存在风险或不规范的配置项，并给出修复建议，保障资源合规且安全地创建。

• 编排文件审计
  支持对编排文件内的扫描结果进行分类展示，并对不合规的检查支持所在行数显示。

• 自定义规则
  内置K8S manifests文件与Dockerfile文件的自定义设计规则，并支持用户根据使用场景进行开启或关闭检测项。

镜像安全

镜像作为容器运行的基础，如果存在安全隐患、风险问题，将直接影响到容器环境的安全性。面对镜像中可能存在的安全问题，需要对业务环境主机中和镜像仓库中的镜像资产，进行自动扫描或手动扫描来识别风险，对危险镜像基于策略进行阻断，对高危镜像提供可写入dockerfile的修复建议。支持对容器镜像制作过程、镜像运行、镜像发布进行全方位的监控和检测。提供了自动获取节点和仓库中的镜像并从CVE漏洞、CNNVD漏洞、木马病毒、可疑历史操作、敏感信息泄露、以及是否是可信任镜像等多个维度对镜像进行扫描。

• 镜像运行风险识别与处理
  能够设置镜像运行的安全策略，不符合安全策略的镜像将禁止运行，安全策略包括不允许以root用户启动、禁止镜像中存在木马病毒、阻止存在特定软件漏洞的镜像等。

• 支持多种镜像仓库的适配
  面对不同的客户使用场景，平台支持同步Harbor、JForg、Huawei、Registry等多种镜像仓库适配。

• 快速的镜像扫描
  镜像扫描速度快，结果准确，10G镜像仅需10秒。

• 深入的镜像文件与软件包检测
  在快速扫描的基础上增加扫描第三方依赖库、Web框架库和病毒木马等恶意文件检测，更加深入地保证镜像资产的安全。

• 支持一键生成镜像报告
  镜像扫描完成后，用户可以一键生成镜像的合规检测报告，便于用户查看风险信息总览、风险镜像列表、漏洞列表、风险修复建议等信息。

• 安全溯源
  实时检测镜像历史中引入的安全风险信息，包括镜像层的构建命令、操作时间、引入的安全问题等信息。

容器安全

容器运行时的安全状况是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面，现有手段无法快速发现针对容器层面的入侵行为。而传统云平台提供的管理平台虽可查看容器状态并进行容器隔离，但无法针对随时可能出现的异常行为进行持续监控与实时报警。若无法设置预警与实时报警，入侵者极有可能通过漏洞远程操作容器执行命令实现入侵，从而导致重要数据泄露。

支持对容器内行为进行检测。当发现容器逃逸行为、读取敏感信息、启动恶意进程、挂载非法设备、映射敏感目录、修改命名空间等恶意行为时，根据预设策略触发报警或阻断容器运行，并对发现异常的Pod进行隔离。

• 支持自定义策略设置
  根据用户的生产场景支持对集群、命名空间、节点等维度设置检测规则。

• 容器文件防篡改
  通过对容器内重要路径（多路径之间若存在包含关系，将自动去重后保存，默认防护路径及其下所有子路径）下的重要文件进行备份，并识别所有异常篡改文件的行为，及时发送报警并恢复文件。

• 弱口令检测
  支持对包括但不限于mysql8、ssh、redis、tomcat、容器env等应用弱口令检测。

• 进程访问控制
  通过进程访问控制策略对一个或多个容器进行进程监控，并通过配置进程名称、URL等信息来识别异常进程，及时告警或阻断。

• 数据取证
  对容器运行进程进行监控并记录，在追溯风险行为来源时能够快速查找攻击源头，及时排错。

• 容器运行时监控
  支持实时检测运行中的容器CPU占用、内存占用情况。

节点安全

集群部署后，运维人员需时刻关注集群内的master节点与node节点的在线情况，以及是否存在安全风险。针对存在安全风险的节点，需支持将风险信息生成报表，交由安全部门处理，保证节点上的资产安全运行。

• 节点入侵检测
  支持对节点入侵事件的实时监测，包括主机反弹Shell、高危系统调用等。

• 节点扫描
  支持设置扫描周期，按时扫描节点上的软件包是否存在漏洞，并给出修复建议。

• 支持自定义开启/关闭节点防护
  支持自定义开启或关闭对节点的防护，关闭防护后当前节点上的所有资产将不再受保护。

集群安全

针对不同的项目情况、支持对Kubernetes、OpenShift 、Rancher等集群的不同版本进行安全风险扫描。如：Kubernetes版本信息披露、匿名身份验证、可能遭受Ping Flood攻击等。对于部署资源所编写的编排文件，支持一键同步并扫描编写内容是否存在风险以及是否符合编写规范。并支持对集群内的组件进行检查和对集群的审计通过多方位的检测方式保证集群的安全。

• 组件漏洞

  支持对集群内的组件进行检查，并给出该组件内的漏洞信息包括漏洞介绍、参考地址、受影响版本等信息。

• Kubernetes安全检查

  支持对Kubernetes环境进行安全性扫描，检查是否存在诸如信息泄露、特权升级、远程代码执行、危险访问等安全风险，列出各种风险所影响的资产范围，并输出解决方法。

• 插件管理

  支持针对0day或特殊漏洞生成专业的安全插件，运行后能快速发现受影响资产，确定影响面。

• 集群审计

  记录了对APIServer的访问事件，通过查看、分析日志，可以了解集群的运行状况、排查异常，发现集群潜在的安全、性能等风险。

• 集群策略

  可配置集群审计类型包括get类型审计、watch类型审计、list类型审计、update类型审计、creare类型审计、patch类型审计、delete类型审计。

  默认内置针对日常运营模式、重保模式、高级防护模式的告警策略；同时也支持自定义告警策略。

  支持告警规则自定义。

• 集群设置

  支持对新增集群自动扫描、周期扫描的设置。