通过容器安全卫士服务，可以轻松应对各种云原生应用威胁和风险。

仪表盘

仪表盘通过图标可视化方式展示了镜像、容器、节点、镜像仓库、集群这些重要资产的数量统计信息、部署安全信息、以及安全威胁分布情况。可以更直观地显示各资产信息统计、漏洞信息统计、报警信息。使客户能够更快速的识别和了解威胁情况。

• 趋势和历史记录
  提供可视化的界面和报告，以展示威胁情报的相关统计数据、趋势等信息，帮助决策者理解威胁情报的现状和趋势。
• 告警和事件管理
  集成告警和事件管理系统，将安全事件和告警信息汇总展示在大屏幕上，并提供快速的事件处理和跟踪功能。
• 资产管理
  展示每个资产的详细信息，包括集群资产、节点资产、命名空间、工作负载等资产，以帮助用户全面了解资产的特征和配置。
• 漏洞数据集成和可视化
  将漏洞扫描结果数据进行集成，以可视化的方式展示漏洞分布、统计信息，帮助用户全面了解漏洞态势。

告警响应中心

系统实时监控容器的运行情况，能够对可能出现的所有异常行为进行捕获和发出告警，并针对不同的入侵行为给出响应的安全处理建议，可在响应中心中查看所有入侵事件具体信息。并支持在响应中心对不同状态的容器进行相应的操作改变其状态，包括：解除隔离、启动容器、隔离容器、杀容器、暂停容器、一键封堵。

• 支持多种风险行为监测
  支持检测诸如启动特权容器、容器逃逸行为、读取敏感文件、启动恶意进程、挂载非法设备、映射敏感目录、反弹SHELL连接操作、修改命名空间等多种风险行为的检测。
• Pod隔离
  支持对Kubernetes集群内Pod之间的通信进行网络隔离控制。
• ATT&CK模型视角展示
  基于攻击者视角显示攻击各阶段信息，反映了攻击者攻击生命周期以及各个攻击阶段的目标。
• 一键封堵
  当生产环境内出现异常IP可通过一键封堵功对IP进行封堵，防止造成更大的损害。

镜像安全

镜像作为容器运行的基础，如果存在安全隐患、风险问题，将直接影响到容器环境的安全性。面对镜像中可能存在的安全问题，需要对业务环境主机中和镜像仓库中的镜像资产，进行自动扫描或手动扫描来识别风险，对危险镜像基于策略进行阻断，对高危镜像提供可写入dockerfile的修复建议。支持对容器镜像制作过程、镜像运行、镜像发布进行全方位的监控和检测。提供了自动获取节点和仓库中的镜像并从CVE漏洞、CNNVD漏洞、木马病毒、可疑历史操作、敏感信息泄露、以及是否是可信任镜像等多个维度对镜像进行扫描。

• 镜像运行风险识别与处理
  能够设置镜像运行的安全策略，不符合安全策略的镜像将禁止运行，安全策略包括不允许以root用户启动、禁止镜像中存在木马病毒、阻止存在特定软件漏洞的镜像等。
• 支持多种镜像仓库的适配
  面对不同的客户使用场景，平台支持同步Harbor、JForg、Huawei、Registry等多种镜像仓库适配。
• 快速的镜像扫描
  镜像扫描速度快，结果准确，10G镜像仅需10秒。
• 深入的镜像文件与软件包检测
  在快速扫描的基础上增加扫描第三方依赖库、Web框架库和病毒木马等恶意文件检测，更加深入地保证镜像资产的安全。
• 支持一键生成镜像报告
  镜像扫描完成后，用户可以一键生成镜像的合规检测报告，便于用户查看风险信息总览、风险镜像列表、漏洞列表、风险修复建议等信息。
• 安全溯源
  实时检测镜像历史中引入的安全风险信息，包括镜像层的构建命令、操作时间、引入的安全问题等信息。

容器安全

容器运行时的安全状况是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面，现有手段无法快速发现针对容器层面的入侵行为。而传统云平台提供的管理平台虽可查看容器状态并进行容器隔离，但无法针对随时可能出现的异常行为进行持续监控与实时报警。若无法设置预警与实时报警，入侵者极有可能通过漏洞远程操作容器执行命令实现入侵，从而导致重要数据泄露。

支持对容器内行为进行检测。当发现容器逃逸行为、读取敏感信息、启动恶意进程、挂载非法设备、映射敏感目录、修改命名空间等恶意行为时，根据预设策略触发报警或阻断容器运行，并对发现异常的Pod进行隔离。

• 支持自定义策略设置
  根据用户的生产场景支持对集群、命名空间、节点等维度设置检测规则。
• 容器文件保护
  通过对容器内文件读写行为的学习，创建容器内文件读写行为的白名单，并以此识别所有异常读写容器内文件的行为，并及时发送报警。
• 数据取证
  对容器运行进程进行监控并记录，在追溯风险行为来源时能够快速查找攻击源头，及时排错。
• 容器运行时监控
  支持实时检测运行中的容器CPU占用、内存占用情况。

节点安全

集群部署后，运维人员需时刻关注集群内的master节点与node节点的在线情况，以及是否存在安全风险。针对存在安全风险的节点，需支持将风险信息生成报表，交由安全部门处理，保证节点上的资产安全运行。

• 节点入侵检测
  支持对节点入侵事件的实时监测，包括主机反弹Shell、高危系统调用等。
• 节点扫描
  支持设置扫描周期，按时扫描节点上的软件包是否存在漏洞，并给出修复建议。
• 支持自定义开启/关闭节点防护
  支持自定义开启或关闭对节点的防护，关闭防护后当前节点上的所有资产将不再受保护。