跳到主要内容

赤岩石®️ 容器安全

容器(container)是一种轻量级的虚拟化技术,用于封装和隔离应用程序及其依赖项。与传统的虚拟机(Virtual Machine, VM)相比,容器提供了更高的性能和资源利用率,因为它们共享同一个操作系统内核,而不需要为每个应用程序分配独立的操作系统。

容器技术的核心概念是将应用程序及其运行环境打包在一个独立、可移植的单元中。这使得在不同的环境中部署和运行应用程序变得更加容易,无论是在开发、测试还是生产环境。容器解决了因操作系统和软件依赖问题导致的“在我机器上可以运行”的问题。

容器和 Kubernetes 作为现代应用部署和管理的基础设施,提供了许多优势,但同时也存在一些安全隐患。以下是一些常见的容器和 Kubernetes 安全隐患:

  • 使用未经验证或含有恶意代码的容器镜像可能导致安全问题,如其中包含严重漏洞,或被恶意注入有害代码,后续部署到生产环境中,将会存在很大的隐患。已经部署的镜像可能存在近期公开的漏洞,很有被利用的可能。

  • 由于容器共享宿主操作系统的内核,攻击者可能尝试利用内核漏洞从容器内部逃逸到宿主系统。保持操作系统和容器运行时的更新以及限制容器权限有助于防止容器逃逸。

  • 过于宽松的容器权限可能导致容器被恶意利用,特权容器的滥用增加了恶意代码和挖矿程序植入的风险,容器运行时环境下的错误配置,让攻击者窃取集群资源并发动攻击活动变得轻而易举。

  • 容器的生命周期很短暂,会随着策略和自身的生命周期动态改变,比如 HPA 业务的动态扩缩容、JOB 任务的执行、业务容器的重新调度等。这些动态的工作负载,让非法的行为难以被发现及捕获。

  • 还有更多 ...

功能总览

针对容器 & Kubernetes 暴露的安全问题,赤岩石®️ 容器安全安全提供以下主要功能:

基础设施扫描

基础设施是运行业务应用的载体,安全性尤为重要。能够全面、高效地对 Kubernetes 基础设施进行深入扫描,识别并评估集群和节点潜在的安全风险。借助先进的扫描技术,可以对关键组件进行实时监测,周期的进行合规检查和漏洞扫描,确保您的容器运行环境始终处于安全状态。

节点镜像扫描

节点镜像是容器启动时,从镜像仓库中拉取的镜像副本,在镜像的生命周期中处于中间环节。通过对节点镜像进行细致扫描,可及时发现并修复漏洞,保障您的业务系统安全,减轻维护压力。结合持续集成和持续部署流程,可以周期/实时检测和分析镜像的安全问题,提供详细的报告以指导修复工作。

运行容器扫描

针对运行中的容器,可以对其文件系统进行扫描。区别于镜像扫描,容器扫描可以对容器的整个文件系统进行扫描,包括容器镜像文件系统、启动时挂载的文件以及运行时产生的文件。确保容器在运行过程中始终保持安全。借助先进的分析技术,对恶意文件进行有效的识别。能够发现和预防潜在的威胁。

容器异常检测

提供全面的容器运行监控,能够实时监控并分析容器的运行状态,确保您的应用始终处于安全可控的状态。我们提供许多可用于生产环境的异常检测规则,能够有效的对容器逃逸、容器异常进程、异常网络连接、容器提权行为等异常进行检测。同时,提供可视化报告和实时告警功能,使您能够快速获取关键信息并采取相应措施。

容器行为建模

通过对容器行为进行深入分析和建模,为您提供智能的容器安全防护。借助机器学习和大数据分析技术,我们可以对容器的正常行为进行建模,实时检测和识别异常行为,确保您的容器始终处于安全状态。此外,我们还可以通过模型创建容器保护策略、微隔离策略,加强应用程序系统和网络层面的安全性。

容器安全处置

在接收到异常行为告警后,提供详细的安全处置报告,帮助您深入了解威胁来源和影响范围,以便采取更有效的防护措施。根据安全处置报告,您可以对异常容器暂停容器、停止容器、重启容器处置操作,也可以结合微隔离对容器进行网络阻断。

容器保护策略

通过对容器中的进程进行精细化管理,确保只有合法且必要的进程能够运行。借助角色访问控制和进程白名单机制,我们可以有效阻止未经授权的进程启动,降低潜在风险。产品实施严格的文件访问控制策略,对容器内的文件读写操作进行限制。通过设置文件访问权限和实施文件系统的只读挂载,我们可以确保敏感数据不被恶意访问或篡改,提高数据安全性。

策略单元管理

策略单元分为检测单元和保护单元,分别与容器异常检测功能和容器保护功能挂钩,为您提供灵活且强大的容器安全管理。在您正确的完成容器集群的接入后,您只需要在策略单元管理页面以非常简单的操作,就可以完成策略单元的安装和卸载。

产品特点

检测 -> 处置 -> 预防的安全闭环

我们的产品提供全面而深入的安全扫描,包括对 Kubernetes 基础设施、节点镜像以及运行中的容器进行深入扫描,以识别和评估潜在的安全风险。通过实时监控关键组件,确保您的容器运行环境始终处于安全状态。

详细的安全处置报告与保护策略

在接收到异常行为告警后,我们提供详细的安全处置报告,帮助您深入了解威胁来源和影响范围。我们也提供容器保护策略,包括角色访问控制和进程白名单机制,保证只有合法的进程能运行。

智能的容器行为建模与异常检测

通过深入分析和建模容器行为,我们可以实时检测和识别异常行为,确保容器安全。我们还提供实时的异常检测规则和实时告警功能,使您能够快速获取关键信息并采取相应措施。

灵活强大的策略单元管理

我们的策略单元管理分为检测单元和保护单元,为您提供灵活且强大的容器安全管理。简单的操作即可完成策略单元的安装和卸载,使您的容器集群安全更为便捷。