山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为别的解决问题容器集群新型技术普及复杂阶段 阶段带来的全新安全别的解决问题  ，中关村数据信息安全测评防守效率以及组织发起编制《图片来源来源安全等级保护容器安全有关意见》  ，并于2023年7月1日起采取。该文件对构成容器集群的各个抽象结构有关意见了安全有关意见  ，再就 例如：

·管理平台支持：例如集中管控、父亲身份 验证和授权机制、访问以及控制、审计和日志记录、安全配置等；

·计算节点：例如节点的安全配置、漏洞修补、安全监控和日志记录、访问以及控制、策略迁移、恶意代码仔细检查等；

·集群图片来源来源：例如集群图片来源来源的隔离、安全通信、访问以及控制、异常流量分析结论等；

·容器镜像：例如镜像的安全验证、安全配置、父亲身份 验证、漏洞修补、访问以及控制等；

·镜像仓库：例如镜像仓库的安全存储、安全验证、访问以及控制等；

·容器运行时：例如运行时的安全配置、不良行为审计、访问以及控制和准入以及控制等；

·容器稳定状态：例如容器稳定状态监控、不良行为审计、容器隔离、异常检测等。

因为 的 安全有关意见从1到4级逐级增强  ，对云增值服务商、云安全增值服务商、云采取方等角色定位应用提供了容器集群的安全指导 ，走出困境以及组织和企业中增强其容器外部环境的安全性  ，增强潜在风险。

山石网科成为国内外主流的云安全增值服务商 ，不仅推出大云铠主机安全防护平台支持（下面简称山石云铠）。该平台支持基于CWPP框架体系 ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大阶段出发  ，设计方式了资产梳理、微隔离、漏洞扫描、病毒查杀、不良行为规则、准入策略、入侵防护等其他功能  ，为容器集群应用提供可靠的安全防护别的解决问题方案。

容器流量可视、精细化管控和智能分析结论

按照《图片来源来源安全等级保护容器安全有关意见》有关意见：

应逐步实现多所有用户场景下容器实例密切联系 、容器与宿主机密切联系 、容器与别的主机密切联系 的图片来源来源访问以及控制；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠大力支持基于容器配置细粒度微隔离策略  ，逐步实现容器实例密切联系 、容器与宿主机密切联系 、容器与别的图片来源来源密切联系 的精细化图片来源来源流量访问以及控制  ，确保容器的通信仅限于授权和特别规定的流量。

成为 ，山石云铠采取机器自学习内容 新型技术构建容器的图片来源来源安全基线 ，自动学习内容 和分析结论容器的流量。当能发现容器的异常流量后 ，山石云铠就能及时识别并采取阻断措施。因为 还 ，山石云铠应用提供安全透视镜其他功能 ，就能为安全管理人员直观的呈现容器集群的图片来源来源互访密切联系 画像  ，走出困境安全管理人员快速聚焦违规流量  ，及时采取安全分析结论和响应  ，并能 增强容器集群的安全性。

容器镜像的合规仔细检查、漏洞扫描和病毒查杀

按照《图片来源来源安全等级保护容器安全有关意见》有关意见：

应确保容器镜像只采取安全的基于容器镜像 ，仅不仅包括 必要的使用软件包或组件  ，对不安全镜像采取告警  ，并逐步实现拦截；

除基于平台支持组件外 ，应禁止业务容器实例采取特权所有用户和特权运行模式运行 ，采取特权所有用户运行容器不良行为采取告警并拦截；

应确保容器镜像修复超危、高危、中危及低危图片来源来源安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像中途加入容器仓库。

山石云铠遵循安全基线合规具体标准 ，应用提供了对容器和镜像的合规性仔细检查其他功能。它就能仔细检查容器和镜像的配置文件、安全参数、组件稳定状态、权限加设等多个不仅 ，以确保其符合安全基线合规有关意见  ，增加潜在的合规风险。

例如合规性仔细检查 ，山石云铠还大力支持容器和镜像的漏洞扫描和病毒查杀其他功能。采取采取漏洞扫描  ，山石云铠就能及时识别和报告容器和镜像中已知的漏洞  ，以便所有用户及时修复。成为  ，采取病毒查杀其他功能 ，它就能检测和清除容器和镜像中所潜在病毒文件  ，切实有效预防黑客攻击。

容器运行的安全验证和准入以及控制

按照《图片来源来源安全等级保护容器安全有关意见》有关意见：

应在容器镜像创建或部署复杂阶段 中集成扫描其他功能  ，大力支持对Dockerfile和容器镜像的图片来源来源安全漏洞扫描 ，对不安全的镜像采取告警并阻断创建或部署流程。

山石云铠应用提供了灵活的准入以及控制其他功能  ，使安全管理人员就能按照容器/镜像的合规仔细检查因为 还、Kubernetes应用标签、镜像漏洞扫描因为 还等多个因素自定义容器的准入策略。采取准入策略 ，山石云铠在容器运行时采取采取安全验证。就能容器不符合设定的安全有关意见  ，它就能自动采取告警或阻断容器的运行。因为 就能防止不符合安全有关意见的容器即将进入运行稳定状态 ，增强容器集群的安全风险。

容器实例的入侵防护和响应处置

按照《图片来源来源安全等级保护容器安全有关意见》有关意见：

应监测对管理平台支持和容器实例的攻击不良行为并拦截 ，例如容器逃逸、所有用户提权；

应对失陷容器采取响应处置 ，例如关闭或细粒度隔离容器。

山石云铠应用提供了非常强很大入侵防御其他功能  ，内置的丰富入侵特征 ，就能检测到多种威胁  ，例如web后门多种手段、反弹shell攻击、本地提权等常见攻击手法。例如内置特征 ，山石云铠还大力支持按照特定的前提条件自定义入侵检测特征和规则  ，例如基于命令行等特征前提条件。所有用户就能按照进而 的各种满足和外部环境特点  ，灵活定义入侵检测规则 ，各种各种满足多样化的入侵防护各种满足。

来讲能发现的威胁  ，山石云铠大力支持自动告警 ，及时通知安全管理人员能发现的入侵事件。成为 ，山石云铠还就能停用有关进程或容器  ，切实有效阻断攻击的逐步扩散和影响较大。来讲风险容器 ，山石云铠还大力支持基于微隔离新型技术采取隔离  ，限制其采取他容器和管理系统的影响较大  ，增强总体而言而言安全性。

容器稳定状态的安全监控和风险阻断

按照《图片来源来源安全等级保护容器安全有关意见》有关意见：

应审计容器实例事件  ，例如进程、文件、图片来源来源等事件。

应监测容器实例运行复杂阶段 中所恶意代码上传、下载注册、横向传播不良行为并拦截。

山石云铠应用提供了自定义Kubernetes应用学习内容 时长的其他功能  ，允许所有用户按照实际各种满足加设学习内容 时长。在学习内容 前夕  ，山石云铠会采取自动学习内容 分析结论应不仅包括 用来进程、文件和图片来源来源不良行为 ，并生成有关的不良行为模型。安全管理人员就能快速将因为 的 不良行为模型转化为不良行为规则  ，因为 的 规则就能用于检测和识别不合规的不良行为  ，例如异常文件后续操作或可疑图片来源来源通信等。能发现不合规不良行为后  ，山石云铠会自动采取告警、阻断或停用等具体标准动作  ，以确保容器集群的安全性。

容器安全日志的备份

按照《图片来源来源安全等级保护容器安全有关意见》有关意见：

应逐步实现审计数据情况留存或备份  ，审计数据情况保存因为 还时间应符合法律法规有关意见。

山石云铠大力支持与日志增值服务器联动  ，将平台支持的安全日志定期备份到日志增值服务器  ，各种各种满足安全数据情况保存因为 还时密切联系 各种满足。

例如为容器集群应用提供安全防护别的 ，山石云铠还大力支持为物理增值服务器、虚拟机等云工作会负载应用提供一站式的安全防护别的解决问题方案  ，覆盖私有云、公有云、混合云等多云场景 ，为复杂的企业中业务外部环境构建统一的安全防护体系！