山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为解决目前出现容器集群技术一普及两个两个流流程中 带来影响的重新安全解决目前出现  ，中关村关键信息安全测评火箭队 参与组织发起编制《配图安全等级保护容器安全给出 给出 给出 》 ，并于2023年7月1日起开展。该文件对构成容器集群的各个抽象结构给出 给出 了安全给出 给出 给出  ，大多不仅如此：

·管理平台提供：不仅如此集中管控、个人身份验证和授权机制、访问以及控制、审计和日志记录、安全配置等；

·计算节点：不仅如此节点的安全配置、漏洞修补、安全监控和日志记录、访问以及控制、策略迁移、恶意代码检查后等；

·集群配图：不仅如此集群配图的隔离、安全通信、访问以及控制、异常流量分析得出等；

·容器镜像：不仅如此镜像的安全验证、安全配置、个人身份验证、漏洞修补、访问以及控制等；

·镜像仓库：不仅如此镜像仓库的安全存储、安全验证、访问以及控制等；

·容器运行时：不仅如此运行时的安全配置、犯罪行为审计、访问以及控制和准入以及控制等；

·容器完美状态 ：不仅如此容器完美状态 监控、犯罪行为审计、容器隔离、异常检测等。

这类安全给出 给出 给出 从1到4级逐级增强 ，对云服务提供商、云安全服务提供商、云开展方等人物角色人员提供了容器集群的安全指导  ，帮住参与组织和民营企业增强其容器自然环境的安全性  ，增强潜在风险。

山石网科成为全球主流的云安全服务提供商  ，最最新推出过云铠主机安全防护平台提供（一是简称山石云铠）。该平台提供认知基础CWPP框架体系  ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大流程中 出发  ，细节设计了资产梳理、微隔离、漏洞扫描、病毒查杀、犯罪行为规则、准入策略、入侵防护等功能包括 ，为容器集群人员提供可靠的安全防护解决目前出现方案。

容器流量可视、精细化管控和智能分析得出

参照 《配图安全等级保护容器安全给出 给出 给出 》给出 给出 给出 ：

应实现认知基础 多导致用户场景下容器实例相互、容器与宿主机相互、容器与不仅如此主机相互的配图访问以及控制；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠不支持认知基础容器配置细粒度微隔离策略  ，实现认知基础 容器实例相互、容器与宿主机相互、容器与不仅如此配图相互的精细化配图流量访问以及控制  ，确保容器的通信仅限于授权和具体规定的流量。

另一诸一方面  ，山石云铠开展机器自继续学习技术一构建容器的配图安全基线 ，自动继续学习和分析得出容器的流量。当能发现容器的异常流量后  ，山石云铠是能可另一诸一方面时识别并开展阻断措施。因为 ，山石云铠人员提供安全透视镜功能包括 ，是能是能为安全管理人员直观的呈现容器集群的配图互访相互画像 ，帮住安全管理人员快速聚焦违规流量  ，及时开展安全分析得出和响应  ，一方面增强容器集群的安全性。

容器镜像的合规检查后、漏洞扫描和病毒查杀

参照 《配图安全等级保护容器安全给出 给出 给出 》给出 给出 给出 ：

应确保容器镜像只开展安全的认知基础容器镜像 ，仅其中必要的该软件包或组件  ，对不安全镜像开展告警 ，并实现认知基础 拦截；

除认知基础平台提供组件外  ，应禁止业务容器实例开展特权导致用户和特权三种模式运行  ，开展特权导致用户运行容器犯罪行为开展告警并拦截；

应确保容器镜像修复超危、高危、中危及低危配图安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像立刻加入容器仓库。

山石云铠遵循安全基线合规统一标准  ，人员提供了对容器和镜像的合规性检查后功能包括。它是能是能检查后容器和镜像的配置文件、安全参数、组件完美状态 、权限位置设置等多个诸一方面  ，以确保其符合安全基线合规给出 给出 给出 ，明显减少潜在的合规风险。

不仅如此合规性检查后  ，山石云铠还不支持容器和镜像的漏洞扫描和病毒查杀功能包括。开开展展漏洞扫描  ，山石云铠是能可另一诸一方面时识别和报告容器和镜像中已知的漏洞  ，以便导致用户及时修复。另一诸一方面 ，开展病毒查杀功能包括  ，它是能是能检测和清除容器和镜像中则 潜在病毒文件  ，有效性预防黑客攻击。

容器运行的安全验证和准入以及控制

参照 《配图安全等级保护容器安全给出 给出 给出 》给出 给出 给出 ：

应在容器镜像创建或部署两个两个流流程中 集成扫描功能包括  ，不支持对Dockerfile和容器镜像的配图安全漏洞扫描  ，对不安全的镜像开展告警并阻断创建或部署流程。

山石云铠人员提供了灵活的准入以及控制功能包括 ，使安全管理人员是能是能参照 容器/镜像的合规检查后因为 、Kubernetes应用标签、镜像漏洞扫描因为 等多个因素自定义容器的准入策略。开展准入策略  ，山石云铠在容器运行时开开展展安全验证。是能是能容器不符合设定的安全给出 给出 给出  ，它是能是能自动开展告警或阻断容器的运行。因为 是能是能防止不符合安全给出 给出 给出 的容器重新进入运行完美状态  ，增强容器集群的安全风险。

容器实例的入侵防护和响应处置

参照 《配图安全等级保护容器安全给出 给出 给出 》给出 给出 给出 ：

应监测对管理平台提供和容器实例的攻击犯罪行为并拦截  ，不仅如此容器逃逸、导致用户提权；

应对失陷容器开展响应处置  ，不仅如此关闭或细粒度隔离容器。

山石云铠人员提供了很强不小 入侵防御功能包括 ，内置的丰富入侵特征  ，是能是能检测到多种威胁  ，不仅如此web后门多种手段、反弹shell攻击、本地提权等常见攻击手法。不仅如此内置特征  ，山石云铠还不支持参照 特定的外部条件自定义入侵检测特征和规则  ，不仅如此认知基础命令行等特征外部条件。导致用户是能是能参照 一方面的可以消费需求和自然环境特点  ，灵活定义入侵检测规则  ，可以消费需求多样化的入侵防护可以消费需求。

来讲能发现的威胁  ，山石云铠不支持自动告警  ，及时通知安全管理人员能发现的入侵事件。另一诸一方面  ，山石云铠因为 能是能停用其它相关进程或容器  ，有效性阻断攻击的强化扩散和造成影响。来讲风险容器  ，山石云铠还不支持认知基础微隔离技术一开展隔离  ，限制其开展他容器和运行系统的造成影响  ，增强总体而言而言安全性。

容器完美状态 的安全监控和风险阻断

参照 《配图安全等级保护容器安全给出 给出 给出 》给出 给出 给出 ：

应审计容器实例事件 ，不仅如此进程、文件、配图等事件。

应监测容器实例运行两个两个流流程中 则 恶意代码上传、直接下载、横向传播犯罪行为并拦截。

山石云铠人员提供了自定义Kubernetes应用继续学习时长的功能包括  ，允许导致用户参照 实际可以消费需求位置设置继续学习时长。在继续学习之后  ，山石云铠会开展自动继续学习分析得出应用上时进程、文件和配图犯罪行为  ，并生成其它相关的犯罪行为模型。安全管理人员是能是能快速将这类犯罪行为模型转化为犯罪行为规则  ，这类规则是能是能用于检测和识别不合规的犯罪行为  ，不仅如此异常文件去操作或可疑配图通信等。能发现不合规犯罪行为后  ，山石云铠会自动开展告警、阻断或停用等统一标准动作  ，以确保容器集群的安全性。

容器安全日志的备份

参照 《配图安全等级保护容器安全给出 给出 给出 》给出 给出 给出 ：

应实现认知基础 审计综合数据留存或备份  ，审计综合数据保存把时间应符合法律法规给出 给出 给出 。

山石云铠不支持与日志服务提供器联动  ，将平台提供的安全日志定期备份到日志服务提供器  ，可以消费需求安全综合数据保存把时相互可以消费需求。

不仅如此为容器集群人员提供安全防护不仅如此  ，山石云铠还不支持为物理服务提供器、虚拟机等云工作中负载人员提供一站式的安全防护解决目前出现方案 ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的民营企业业务自然环境构建统一的安全防护体系！