山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为这些难题容器集群技术方面普及时间时间流流程中 带来冲击新的方式的方式安全这些难题  ，中关村其他信息安全测评全联盟参与组织发起编制《图片安全等级保护容器安全首次提出首次提出首次提出》  ，并于2023年7月1日起是用时。该文件对构成容器集群的各个抽象结构首次提出首次提出来安全首次提出首次提出首次提出  ，主要由诸如：

·管理平台提供：诸如集中管控、双重身份验证和授权机制、访问可以控制、审计和日志记录、安全配置等；

·计算节点：诸如节点的安全配置、漏洞修补、安全监控和日志记录、访问可以控制、策略迁移、恶意代码再检查等；

·集群图片：诸如集群图片的隔离、安全通信、访问可以控制、异常流量数据分析等；

·容器镜像：诸如镜像的安全验证、安全配置、双重身份验证、漏洞修补、访问可以控制等；

·镜像仓库：诸如镜像仓库的安全存储、安全验证、访问可以控制等；

·容器运行时：诸如运行时的安全配置、不良行为审计、访问可以控制和准入可以控制等；

·容器状况：诸如容器状况监控、不良行为审计、容器隔离、异常检测等。

很多安全首次提出首次提出首次提出从1到4级逐级增强  ，对云服务提供商、云安全服务提供商、云是用时方等反派角色人员提供了容器集群的安全指导  ，走出困境参与组织和企业中增强其容器坏境的安全性  ，增强潜在风险。

山石网科同样海外 主流的云安全服务提供商  ，最最新推出来云铠主机安全防护平台提供（如下简称山石云铠）。该平台提供基于CWPP框架体系  ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大流程中 出发  ，设计细节了资产梳理、微隔离、漏洞扫描、病毒查杀、不良行为规则、准入策略、入侵防护等功能方面 ，为容器集群人员提供可靠的安全防护这些难题方案。

容器流量可视、精细化管控和智能数据分析

根据如下《图片安全等级保护容器安全首次提出首次提出首次提出》首次提出首次提出首次提出：

应基本实现多终端用户场景下容器实例他们之间、容器与宿主机他们之间、容器与这些主机他们之他们之间图片访问可以控制；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠都支持基于容器配置细粒度微隔离策略  ，基本实现容器实例他们之间、容器与宿主机他们之间、容器与这些图片他们之他们之间精细化图片流量访问可以控制  ，确保容器的通信仅限于授权和第十六条的流量。

这些  ，山石云铠是用时机器自学习中技术方面构建容器的图片安全基线 ，自动学习中和数据分析容器的流量。当发现自己容器的异常流量后 ，山石云铠假如 及时识别并是用时阻断措施。然后  ，山石云铠人员提供安全透视镜功能方面  ，假如 为安全管理人员直观的呈现容器集群的图片互访他们之间画像  ，走出困境安全管理人员快速聚焦违规流量  ，及时是用时安全数据分析和响应  ，并且使增强容器集群的安全性。

容器镜像的合规再检查、漏洞扫描和病毒查杀

根据如下《图片安全等级保护容器安全首次提出首次提出首次提出》首次提出首次提出首次提出：

应确保容器镜像只是用时安全的基于容器镜像  ，仅包含必要的免费软件包或组件  ，对不安全镜像是用时告警  ，并基本实现拦截；

除基于平台提供组件外  ，应禁止业务容器实例是用时特权终端用户和特权全新模式运行  ，是用时特权终端用户运行容器不良行为是用时告警并拦截；

应确保容器镜像修复超危、高危、中危及低危图片安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像直接加入容器仓库。

山石云铠遵循安全基线合规具体标准  ，人员提供了对容器和镜像的合规性再检查功能方面。它假如 再检查容器和镜像的配置文件、安全参数、组件状况、权限单独设置等多个技术方面方面  ，以确保其符合安全基线合规首次提出首次提出首次提出  ，密切相关减少潜在的合规风险。

诸如合规性再检查  ，山石云铠还都支持容器和镜像的漏洞扫描和病毒查杀功能方面。是用时是用时漏洞扫描  ，山石云铠假如 及时识别和报告容器和镜像中已知的漏洞  ，以便终端用户及时修复。这些 ，是用时病毒查杀功能方面 ，它假如 检测和清除容器和镜像中所潜在病毒文件  ，能够有效预防黑客攻击。

容器运行的安全验证和准入可以控制

根据如下《图片安全等级保护容器安全首次提出首次提出首次提出》首次提出首次提出首次提出：

应在容器镜像创建或部署时间时间流流程中 集成扫描功能方面  ，都支持对Dockerfile和容器镜像的图片安全漏洞扫描 ，对不安全的镜像是用时告警并阻断创建或部署流程。

山石云铠人员提供了灵活的准入可以控制功能方面  ，使安全管理人员假如 根据如下容器/镜像的合规再检查然后、Kubernetes应用标签、镜像漏洞扫描然后等多个因素自定义容器的准入策略。是用时准入策略 ，山石云铠在容器运行时是用时是用时安全验证。假如 容器不符合设定的安全首次提出首次提出首次提出  ，它假如 自动是用时告警或阻断容器的运行。这种假如 防止不符合安全首次提出首次提出首次提出来容器提前进入运行状况  ，增强容器集群的安全风险。

容器实例的入侵防护和响应处置

根据如下《图片安全等级保护容器安全首次提出首次提出首次提出》首次提出首次提出首次提出：

应监测对管理平台提供和容器实例的攻击不良行为并拦截 ，诸如容器逃逸、终端用户提权；

应对失陷容器是用时响应处置  ，诸如关闭或细粒度隔离容器。

山石云铠人员提供了庞大 的入侵防御功能方面  ，内置的丰富入侵特征  ，假如 检测到多种威胁 ，诸如web后门方式、反弹shell攻击、本地提权等常见攻击手法。诸如内置特征  ，山石云铠还都支持根据如下特定的基本条件自定义入侵检测特征和规则 ，诸如基于命令行等特征基本条件。终端用户假如 根据如下其次的各种产品需求和坏境特点  ，灵活定义入侵检测规则  ，各种各种产品需求多样化的入侵防护各种产品需求。

是对发现自己的威胁  ，山石云铠都支持自动告警  ，及时通知安全管理人员发现自己的入侵事件。这些 ，山石云铠还假如 停用密切相关进程或容器  ，能够有效阻断攻击的逐步扩散和影响到。是对风险容器 ，山石云铠还都支持基于微隔离技术方面是用时隔离  ，限制其是用时他容器和该系统的影响到  ，增强整体性 安全性。

容器状况的安全监控和风险阻断

根据如下《图片安全等级保护容器安全首次提出首次提出首次提出》首次提出首次提出首次提出：

应审计容器实例事件  ，诸如进程、文件、图片等事件。

应监测容器实例运行时间时间时间流流程中 恶意代码上传、立即下载 、横向传播不良行为并拦截。

山石云铠人员提供了自定义Kubernetes应用学习中时长的功能方面 ，允许终端用户根据如下实际各种产品需求单独设置学习中时长。在学习中之后  ，山石云铠会是用时自动学习中数据分析应是用时进程、文件和图片不良行为  ，并生成密切相关的不良行为模型。安全管理人员假如 快速将很多不良行为模型转化为不良行为规则  ，很多规则假如 用于检测和识别不合规的不良行为  ，诸如异常文件操作方式或可疑图片通信等。发现自己不合规不良行为后 ，山石云铠会自动是用时告警、阻断或停用等手部动作 ，以确保容器集群的安全性。

容器安全日志的备份

根据如下《图片安全等级保护容器安全首次提出首次提出首次提出》首次提出首次提出首次提出：

应基本实现审计其他数据留存或备份  ，审计其他数据保存段里 应符合法律法规首次提出首次提出首次提出。

山石云铠都支持与日志服务提供器联动  ，将平台提供的安全日志定期备份到日志服务提供器  ，各种各种产品需求安全其他数据保存段里 的各种产品需求。

诸如为容器集群人员提供安全防护这些 ，山石云铠还都支持为物理服务提供器、虚拟机等云工作任务负载人员提供一站式的安全防护这些难题方案  ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的企业中业务坏境构建统一的安全防护体系！