山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为如何问题解决解决容器集群技术方面普及不仅中带来影响的旧的安全如何如何问题解决解决  ，中关村密切相关信息安全测评东部联盟协助组织发起编制《图片安全等级保护容器安全其明确提出提出》  ，并于2023年7月1日起实施。该文件对构成容器集群的各个抽象结构其明确提出提出好安全其明确提出提出 ，主要主要原因的的：

·管理平台发布：的的集中管控、双重身份验证和授权机制、访问直接控制 、审计和日志记录、安全配置等；

·计算节点：的的节点的安全配置、漏洞修补、安全监控和日志记录、访问直接控制 、策略迁移、恶意代码再检查等；

·集群图片：的的集群图片的隔离、安全通信、访问直接控制 、异常流量预测等；

·容器镜像：的的镜像的安全验证、安全配置、双重身份验证、漏洞修补、访问直接控制 等；

·镜像仓库：的的镜像仓库的安全存储、安全验证、访问直接控制 等；

·容器运行时：的的运行时的安全配置、行为方面审计、访问直接控制 和准入直接控制 等；

·容器稳定状态：的的容器稳定状态监控、行为方面审计、容器隔离、异常检测等。

这样的的 安全其明确提出提出从1到4级逐级显著提高  ，对云产品服务商、云安全产品服务商、云实施方等一个角色提供完整了容器集群的安全指导 ，走出困境协助组织和企业一方面显著提高其容器自然环境的安全性 ，显著提高潜在风险。

山石网科做为中国国内主流的云安全产品服务商  ，正式推出好云铠主机安全防护平台发布（以上简称山石云铠）。该平台发布认知基础CWPP框架体系  ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大不仅出发 ，设计细节了资产梳理、微隔离、漏洞扫描、病毒查杀、行为方面规则、准入策略、入侵防护等其它功能  ，为容器集群提供完整可靠的安全防护如何问题解决解决方案。

容器流量可视、精细化管控和智能预测

按照《图片安全等级保护容器安全其明确提出提出》其明确提出提出：

应努力实现多现有用户场景下容器实例两者之间、容器与宿主机两者之间、容器与不仅 主机两者之两者之间图片访问直接控制 ；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠持续支持认知基础容器配置细粒度微隔离策略 ，努力实现容器实例两者之间、容器与宿主机两者之间、容器与不仅 图片两者之两者之间精细化图片流量访问直接控制  ，确保容器的通信仅限于授权和规定要求的流量。

不仅 如此如此  ，山石云铠实施机器自来学习技术方面构建容器的图片安全基线  ，自动来学习和预测容器的流量。当才发现容器的异常流量后 ，山石云铠需要及时识别并实施阻断措施。但是  ，山石云铠提供完整安全透视镜其它功能  ，需要为安全管理人员直观的呈现容器集群的图片互访两者之间画像  ，走出困境安全管理人员快速聚焦违规流量 ，及时实施安全预测和响应 ，因而显著提高容器集群的安全性。

容器镜像的合规再检查、漏洞扫描和病毒查杀

按照《图片安全等级保护容器安全其明确提出提出》其明确提出提出：

应确保容器镜像只实施安全的认知基础容器镜像  ，仅主要包括必要的软件程序 包或组件  ，对不安全镜像实施告警 ，并努力实现拦截；

除认知基础平台发布组件外 ，应禁止业务容器实例实施特权现有用户和特权运行模式运行  ，实施特权现有用户运行容器行为方面实施告警并拦截；

应确保容器镜像修复超危、高危、中危及低危图片安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像加入中国 容器仓库。

山石云铠遵循安全基线合规两个标准  ，提供完整了对容器和镜像的合规性再检查其它功能。它需要再检查容器和镜像的配置文件、安全参数、组件稳定状态、权限位置设置等多个不仅  ，以确保其符合安全基线合规其明确提出提出 ，可减少潜在的合规风险。

的的合规性再检查  ，山石云铠还持续支持容器和镜像的漏洞扫描和病毒查杀其它功能。实施实施漏洞扫描  ，山石云铠需要及时识别和报告容器和镜像中已知的漏洞  ，以便现有用户及时修复。不仅 如此如此 ，实施病毒查杀其它功能 ，它需要检测和清除容器和镜像中所潜在病毒文件  ，能够有效预防黑客攻击。

容器运行的安全验证和准入直接控制

按照《图片安全等级保护容器安全其明确提出提出》其明确提出提出：

应在容器镜像创建或部署不仅中集成扫描其它功能  ，持续支持对Dockerfile和容器镜像的图片安全漏洞扫描 ，对不安全的镜像实施告警并阻断创建或部署流程。

山石云铠提供完整了灵活的准入直接控制 其它功能  ，使安全管理人员需要按照容器/镜像的合规再检查但是、Kubernetes应用标签、镜像漏洞扫描但是等多个因素自定义容器的准入策略。实施准入策略  ，山石云铠在容器运行时实施实施安全验证。需要容器不符合设定的安全其明确提出提出 ，它需要自动实施告警或阻断容器的运行。这样的需要防止不符合安全其明确提出提出好容器开启运行稳定状态  ，显著提高容器集群的安全风险。

容器实例的入侵防护和响应处置

按照《图片安全等级保护容器安全其明确提出提出》其明确提出提出：

应监测对管理平台发布和容器实例的攻击行为方面并拦截 ，的的容器逃逸、现有用户提权；

应对失陷容器实施响应处置 ，的的关闭或细粒度隔离容器。

山石云铠提供完整了能力强大强小的入侵防御其它功能  ，内置的丰富入侵特征  ，需要检测到多种威胁  ，的的web后门进行 、反弹shell攻击、本地提权等常见攻击手法。的的内置特征 ，山石云铠还持续支持按照特定的外部条件自定义入侵检测特征和规则 ，的的认知基础命令行等特征外部条件。现有用户需要按照一方面的得到市场需求和自然环境特点 ，灵活定义入侵检测规则  ，得到市场需求多样化的入侵防护得到市场需求。

而对才发现的威胁  ，山石云铠持续支持自动告警  ，及时通知安全管理人员才发现的入侵事件。不仅 如此如此 ，山石云铠还需要停用密切相关进程或容器 ，能够有效阻断攻击的逐步扩散和带来影响影响。而对风险容器 ，山石云铠还持续支持认知基础微隔离技术方面实施隔离  ，限制其实施他容器和系统提供的带来影响影响 ，显著提高从整体安全性。

容器稳定状态的安全监控和风险阻断

按照《图片安全等级保护容器安全其明确提出提出》其明确提出提出：

应审计容器实例事件 ，的的进程、文件、图片等事件。

应监测容器实例运行不仅中所恶意代码上传、直接下载、横向传播行为方面并拦截。

山石云铠提供完整了自定义Kubernetes应就用 学习时长的其它功能  ，允许现有用户按照实际得到市场需求位置设置来学习时长。在来学习前夕  ，山石云铠会实施自动来学习预测应就用 两个标准进程、文件和图片行为方面  ，并生成密切相关的行为方面模型。安全管理人员需要快速将这样的的 行为方面模型转化为行为方面规则  ，这样的的 规则需要用于检测和识别不合规的行为方面  ，的的异常文件所有操作或可疑图片通信等。才发现不合规行为方面后 ，山石云铠会自动实施告警、阻断或停用等动作完成  ，以确保容器集群的安全性。

容器安全日志的备份

按照《图片安全等级保护容器安全其明确提出提出》其明确提出提出：

应努力实现审计数据统计 留存或备份  ，审计数据统计 保存时间不应符合法律法规其明确提出提出。

山石云铠持续支持与日志产品服务器联动  ，将平台发布的安全日志定期备份到日志产品服务器  ，得到市场需求安全数据统计 保存时间不的得到市场需求。

的的为容器集群提供完整安全防护不仅  ，山石云铠还持续支持为物理产品服务器、虚拟机等云工作任务负载提供完整一站式的安全防护如何问题解决解决方案  ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的企业一方面业务自然环境构建统一的安全防护体系！