根据支持功能不同,容器安全卫士提供标准版和高级版供用户选择。
| 一级功能 | 二级功能 | 功能描述 | 标准版 | 高级版 |
|---|---|---|---|---|
| 仪表盘 | - | 从全局视角统计重要资产、防护情况、告警趋势、及安全情况,便于用户更好的进行安全响应处置,提升运营效率。 | ✓ | ✓ |
| 资产中心 | - | 查看集群资产、镜像资产、主机节点资产、应用服务资产、K8S配置详细信息。 | ✓ | ✓ |
| 告警响应 | 运行态检测 | 查看所有容器、主机、K8S入侵告警事件,并对其进行响应处置。 | ✓ | ✓ |
| 镜像告警 | 查看所有触发安全策略的镜像告警事件,并对其进行响应处置。 | ✓ | ✓ | |
| IaC告警 | 查看存在未通过高危检查的文件。 | × | ✓ | |
| 响应中心 | 查看告警处置记录,包括隔离Pod列表、暂停容器列表、重启Pod列表、镜像阻断列表,并进行白名单管理、一键封堵。 | ✓ | ✓ | |
| 安全合规 | 基线管理 |
| ✓ | ✓ |
| 基线配置 | 自定义配置基线扫描周期、安全合规达标率等。 | ✓ | ✓ | |
| 镜像安全 | 镜像管理 | 对业务环境主机中和镜像仓库中的镜像资产统一管理、安全扫描,并提供可写入dockerfile的修复建议。 | ✓ | ✓ |
| 镜像策略 | 通过漏洞规则、文件规则、软件包规则、及其他规则设置来对风险制品镜像进行告警或阻断管控。 | ✓ | ✓ | |
| 镜像设置 | 配置节点镜像和仓库镜像扫描周期。 | ✓ | ✓ | |
| 容器安全 | 实时检测 | 从命名空间或节点的视角实时检测容器安全状态,对容器进行基线检查、容器审计等。 | ✓ | ✓ |
| 容器策略 | 创建并管理容器入侵检测策略及入侵检测规则。 | ✓ | ✓ | |
| 文件防篡改 | 创建并管理容器防篡改策略。 | × | ✓ | |
| 进程访问控制 | 创建并管理容器进程访问策略,支持进程阻断/放行。 | × | ✓ | |
| 弱口令 | 弱口令字典管理及弱口令检测。 | × | ✓ | |
| 容器设置 | 设置容器保留时长、容器审计信息保留时长,及容器扫描周期。 | ✓ | ✓ | |
| 节点安全 | 节点安全 | 查看节点信息、集群组件信息、防御容器健康状态,对节点实时入侵监测,扫描节点漏洞,开启节点debug日志。 | ✓ | ✓ |
| 节点设置 | 自定扫描新增节点,设置节点更新周期。 | ✓ | ✓ | |
| IaC安全 | IaC检查 | 对于部署资源所编写的编排文件,支持扫描编写内容是否存在风险以及是否符合编写规范。 | × | ✓ |
| 规则管理 | 统一管理K8S manifests/helmchart文件规则、Dockerfile文件规则、ConfigMap文件规则等。 | × | ✓ | |
| IaC设置 | 配置自动扫描、周期扫描策略。 | × | ✓ | |
| 集群安全 | 组件漏洞 | 扫描Kubernetes 内的kubelet、calico、etcd等组件漏洞信息。 | × | ✓ |
| 安全检查 | 对集群进行安全检查,发现未通过检查项及影响范围,提供解决方案及参考链接。 | × | ✓ | |
| 插件管理 | 可通过提供插件的形式,帮助用户验证1day漏洞信息。 | × | ✓ | |
| 集群审计 | 记录了对APIServer的访问事件,通过查看、分析日志,可以了解集群的运行状况、排查异常,发现集群潜在的安全、性能等风险对异常事件支持报警。 | × | ✓ | |
| 集群策略 | 配置集群审计策略,管理集群审计规则,管理集群告警规则。 | × | ✓ | |
| 集群设置 | 配置自动扫描新增集群及集群扫描周期。 | × | ✓ | |
| 网络安全 | 网络策略 | 通过对单个业务之间,业务组之间,以及租户之间的网络访问策略配置,实现业务之间隔离,来减小被入侵之后的影响范围。 | × | ✓ |
| 网络雷达 | - | 对容器环境中网络流量进行绘图,打破网络黑洞,支持对命名空间、Pod、主机、集群、外网级别的网络监测。通过对单个业务之间、业务组之间以及多租户之间的网络访问策略配置,通过对业务之间的隔离,来减小被入侵之后的影响范围。通过网络拓扑图从网络层判断入侵的影响范围。 | × | ✓ |
| 平台管理 | 日志审计 | 对系统操作日志进行统计及报表输出。 | ✓ | ✓ |
| 安装配置 | - | 支持天翼云原生集群或非原生集群部署方式。 | ✓ | ✓ |
| 订单中心 | - | 查看用户订单情况,可以进行退订、扩容、续订等操作。 | ✓ | ✓ |
| 任务中心 | - | 查看任务执行情况,可以进行终止、删除、查看详情等操作。 | ✓ | ✓ |
| 消息中心 | - | 查收系统内部消息。 | ✓ | ✓ |
