山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为以外完美解决容器集群技术方面普及时间时间当中带给新的方式的方式安全以外完美解决 ，中关村其它信息安全测评火箭队 组织一发起编制《网路安全等级保护容器安全要求要求》 ，并于2023年7月1日起展开。该文件对构成容器集群的各个抽象结构要求要求了安全要求要求  ，主要由具体包括：

·管理平台发布：具体包括集中管控、特殊身份验证和授权机制、访问掌控、审计和日志记录、安全配置等；

·计算节点：具体包括节点的安全配置、漏洞修补、安全监控和日志记录、访问掌控、策略迁移、恶意代码检査等；

·集群网路：具体包括集群网路的隔离、安全通信、访问掌控、异常流量预测等；

·容器镜像：具体包括镜像的安全验证、安全配置、特殊身份验证、漏洞修补、访问掌控等；

·镜像仓库：具体包括镜像仓库的安全存储、安全验证、访问掌控等；

·容器运行时：具体包括运行时的安全配置、不良行为审计、访问掌控和准入掌控等；

·容器目前状态：具体包括容器目前状态监控、不良行为审计、容器隔离、异常检测等。

一些安全要求要求从1到4级逐级大幅提高  ，对云服务产品商、云安全服务产品商、云展开方等任何角色提供完整了容器集群的安全指导  ，组织一一和企业一方面大幅提高其容器生活环境的安全性  ，大幅提高潜在风险。

山石网科做为作为国内主流的云安全服务产品商  ，新推出个云铠主机安全防护平台发布（几方面简称山石云铠）。该平台发布技术基础CWPP框架体系 ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大当中出发 ，设计造型 了资产梳理、微隔离、漏洞扫描、病毒查杀、不良行为规则、准入策略、入侵防护等其功能 ，为容器集群提供完整可靠的安全防护以外完美解决方案。

容器流量可视、精细化管控和智能预测

根据实际《网路安全等级保护容器安全要求要求》要求要求：

应顺利实现多从用户 场景下容器实例相互之间之间、容器与宿主机相互之间之间、容器与以外主机相互之间之相互之间之间网路访问掌控；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠都支持技术基础容器配置细粒度微隔离策略  ，顺利实现容器实例相互之间之间、容器与宿主机相互之间之间、容器与以外网路相互之间之相互之间之间精细化网路流量访问掌控  ，确保容器的通信仅限于授权和第十九条 的流量。

不仅  ，山石云铠展开机器自学习大幅提高技术方面构建容器的网路安全基线 ，自动学习大幅提高和预测容器的流量。当发现它容器的异常流量后  ，山石云铠实际结果 及时识别并展开阻断措施。但是  ，山石云铠提供完整安全透视镜其功能  ，实际结果 为安全管理人员直观的呈现容器集群的网路互访相互之间画像 ，协助安全管理人员快速聚焦违规流量 ，及时展开安全预测和响应  ，使其大幅提高容器集群的安全性。

容器镜像的合规检査、漏洞扫描和病毒查杀

根据实际《网路安全等级保护容器安全要求要求》要求要求：

应确保容器镜像只展开安全的技术基础容器镜像 ，仅具体包括必要的软件工具包或组件  ，对不安全镜像展开告警  ，并顺利实现拦截；

除技术基础平台发布组件外 ，应禁止业务容器实例展开特权从用户 和特权操作模式运行  ，展开特权从用户 运行容器不良行为展开告警并拦截；

应确保容器镜像修复超危、高危、中危及低危网路安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像立刻加入容器仓库。

山石云铠遵循安全基线合规一般标准  ，提供完整了对容器和镜像的合规性检査其功能。它实际结果 检査容器和镜像的配置文件、安全参数、组件目前状态、权限设置相关联等多个层面  ，以确保其符合安全基线合规要求要求 ，减小潜在的合规风险。

具体包括合规性检査 ，山石云铠还都支持容器和镜像的漏洞扫描和病毒查杀其功能。展展开开漏洞扫描  ，山石云铠实际结果 及时识别和报告容器和镜像中已知的漏洞  ，以便从用户 及时修复。不仅 ，展开病毒查杀其功能 ，它实际结果 检测和清除容器和镜像中有潜在病毒文件  ，切实有效预防黑客攻击。

容器运行的安全验证和准入掌控

根据实际《网路安全等级保护容器安全要求要求》要求要求：

应在容器镜像创建或部署时间时间当中集成扫描其功能 ，都支持对Dockerfile和容器镜像的网路安全漏洞扫描  ，对不安全的镜像展开告警并阻断创建或部署流程。

山石云铠提供完整了灵活的准入掌控其功能  ，使安全管理人员实际结果 根据实际容器/镜像的合规检査但是、Kubernetes应用标签、镜像漏洞扫描但是等多个因素自定义容器的准入策略。展开准入策略  ，山石云铠在容器运行时展开展开安全验证。实际结果 容器不符合设定的安全要求要求  ，它实际结果 自动展开告警或阻断容器的运行。一些话 防止不符合安全要求要求的容器即将进入运行目前状态 ，大幅提高容器集群的安全风险。

容器实例的入侵防护和响应处置

根据实际《网路安全等级保护容器安全要求要求》要求要求：

应监测对管理平台发布和容器实例的攻击不良行为并拦截 ，具体包括容器逃逸、从用户 提权；

应对失陷容器展开响应处置 ，具体包括关闭或细粒度隔离容器。

山石云铠提供完整了强悍的入侵防御其功能  ，内置的丰富入侵特征 ，实际结果 检测到多种威胁  ，具体包括web后门需要利用设备 、反弹shell攻击、本地提权等常见攻击手法。具体包括内置特征 ，山石云铠还都支持根据实际特定的条件满足 自定义入侵检测特征和规则 ，具体包括技术基础命令行等特征条件满足 。从用户 实际结果 根据实际一方面的各种各种需求 和生活环境特点 ，灵活定义入侵检测规则  ，各种各种各种需求 多样化的入侵防护各种各种需求 。

而对发现它的威胁  ，山石云铠都支持自动告警  ，及时通知安全管理人员发现它的入侵事件。不仅 ，山石云铠还实际结果 停用相关联进程或容器  ，切实有效阻断攻击的逐步扩散和产生影响。而对风险容器 ，山石云铠还都支持技术基础微隔离技术方面展开隔离  ，限制其展开他容器和系统支持 的产生影响  ，大幅提高总体安全性。

容器目前状态的安全监控和风险阻断

根据实际《网路安全等级保护容器安全要求要求》要求要求：

应审计容器实例事件  ，具体包括进程、文件、网路等事件。

应监测容器实例运行时间时间当中有恶意代码上传、直接下载、横向传播不良行为并拦截。

山石云铠提供完整了自定义Kubernetes应用学习大幅提高时长的其功能  ，允许从用户 根据实际实际各种各种需求 设置相关联学习大幅提高时长。在学习大幅提高时间里  ，山石云铠会展开自动学习大幅提高预测应使用一般标准进程、文件和网路不良行为  ，并生成相关联的不良行为模型。安全管理人员实际结果 快速将一些不良行为模型转化为不良行为规则  ，一些规则实际结果 用于检测和识别不合规的不良行为  ，具体包括异常文件操作中或可疑网路通信等。发现它不合规不良行为后  ，山石云铠会自动展开告警、阻断或停用等连贯动作  ，以确保容器集群的安全性。

容器安全日志的备份

根据实际《网路安全等级保护容器安全要求要求》要求要求：

应顺利实现审计表现数据留存或备份  ，审计表现数据保存时间吧应符合法律法规要求要求。

山石云铠都支持与日志服务产品器联动 ，将平台发布的安全日志定期备份到日志服务产品器  ，各种各种各种需求 安全表现数据保存时间吧的各种各种需求 。

具体包括为容器集群提供完整安全防护以外以外 ，山石云铠还都支持为物理服务产品器、虚拟机等云工作中负载提供完整一站式的安全防护以外完美解决方案  ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的企业一方面业务生活环境构建统一的安全防护体系！