容器安全服务

为什么需要容器安全服务？

在容器的生命周期中，会遇到各种风险，包括：

• 运行环境安全风险，例如，操作系统组件存在漏洞、配置不当导致暴露不必要的端口、用户访问权限不当、共享操作系统内核等风险。
• 镜像安全风险，例如，镜像存在漏洞、恶意软件、明文密钥、镜像配置不当或使用非信任镜像等风险。
• 容器安全风险，例如，容器内应用存在漏洞、被植入木马病毒，容器资源配置不当等风险。

使用容器安全服务可对上述风险进行防范，保障容器的生命周期安全。

容器安全服务有什么产品功能？

资产管理

容器安全服务提供自动化资产清点功能，支持清点容器、镜像、镜像仓库、主机等关键资产信息，帮助企业实现资产可视化。

镜像安全

容器安全服务可针对镜像、镜像仓库提供一键检测功能，支持对漏洞、木马病毒及敏感信息等多维度安全扫描。

运行时安全

容器安全服务支持自适应识别黑客攻击，实时监控和防护容器运行时安全，提供容器逃逸、进程黑白名单、文件访问控制等安全功能。

安全基线

容器安全服务支持 CIS Benchmark 标准检查，可对容器、镜像、主机等容器环境配置进行安全标准检查，多维度展现容器资产的基线合规情况并帮助建立容器运行环境下的基线配置。

集群安全

容器安全服务支持通过自动检查或手动检查的方式扫描集群存在的漏洞和配置风险，并对业务环境中存在风险的集群及每个集群存在的风险数据进行汇总。

容器安全服务有什么产品优势？

轻量级部署，高性能低占用

容器安全服务采用超融合架构，具备主机安全与容器安全防护能力，支持简易安装，轻量部署。同时容器安全服务严格限制 Agent 资源占用，负载过高时主动降级保证系统正常运行，正常负载时消耗较低。

容器全生命周期的安全防护

在容器生命周期会遇到各种风险，容器安全服务提供容器资产管理、镜像安全及运行时入侵检测等安全服务，保障容器从镜像生成、存储到运行时的全生命周期安全，帮助企业构建容器安全防护体系。

可视化的安全运营分析能力

容器安全服务通过安全告警查看和响应处理等运营功能，不断为产品赋能，达到安全可视化，帮助企业提高运营能力，降低运维难度。

容器安全服务有什么应用场景？

容器镜像防护

镜像存在应用漏洞、木马病毒及敏感信息泄露等多种安全问题， 容器安全服务支持 BUILD（构建）、SHIP（分发）、RUN（运行）全生命周期的镜像深度检查，可发现镜像存在的安全风险，并对镜像进行运行控制。容器安全服务允许用户自定义规则，实现对镜像的防护。

容器逃逸攻击检测

容器隔离性较弱，攻击者可利用敏感挂载和漏洞实现逃逸到宿主机的行为。逃逸问题直接影响承载容器底层基础设施的保密性、完整性和可用性。容器安全支持检测各类容器逃逸行为，例如：

• Privileged 特权模式运行容器引起的逃逸。
• 危险挂载导致的容器逃逸（挂载 Docker Socket、挂载宿主机 procfs）。
• 容器内进程从普通账号切换到 root 账号导致的提权。
• 容器内进程 capability 提权。
• 容器内进程突破 mount file namespace 隔离。
• 容器内进程突破 seccomp syscall 黑名单调用限制。
• 容器内进程修改未挂载进容器的宿主机文件（如 CVE-2019-5736）。