山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为解决容器集群技术普及过程中带来的新的安全问题，中关村信息安全测评联盟组织发起编制《网络安全等级保护容器安全要求》，并于2023年7月1日起实施。该文件对构成容器集群的各个抽象结构提出了安全要求，主要包括：

·管理平台：包括集中管控、身份验证和授权机制、访问控制、审计和日志记录、安全配置等；

·计算节点：包括节点的安全配置、漏洞修补、安全监控和日志记录、访问控制、策略迁移、恶意代码检查等；

·集群网络：包括集群网络的隔离、安全通信、访问控制、异常流量分析等；

·容器镜像：包括镜像的安全验证、安全配置、身份验证、漏洞修补、访问控制等；

·镜像仓库：包括镜像仓库的安全存储、安全验证、访问控制等；

·容器运行时：包括运行时的安全配置、行为审计、访问控制和准入控制等；

·容器状态：包括容器状态监控、行为审计、容器隔离、异常检测等。

这些安全要求从1到4级逐级提高，对云服务商、云安全服务商、云使用方等角色提供了容器集群的安全指导，帮助组织和企业提高其容器环境的安全性，降低潜在风险。

山石网科作为国内主流的云安全服务商，推出了云铠主机安全防护平台（以下简称山石云铠）。该平台基于CWPP框架体系，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大环节出发，设计了资产梳理、微隔离、漏洞扫描、病毒查杀、行为规则、准入策略、入侵防护等功能，为容器集群提供可靠的安全防护解决方案。

容器流量可视、精细化管控和智能分析

根据《网络安全等级保护容器安全要求》要求：

应实现多用户场景下容器实例之间、容器与宿主机之间、容器与其他主机之间的网络访问控制；

应监测容器集群内异常流量，对异常流量拦截。

山石云铠支持基于容器配置细粒度微隔离策略，实现容器实例之间、容器与宿主机之间、容器与其他网络之间的精细化网络流量访问控制，确保容器的通信仅限于授权和规定的流量。

此外，山石云铠通过机器自学习技术构建容器的网络安全基线，自动学习和分析容器的流量。当发现容器的异常流量后，山石云铠能够及时识别并采取阻断措施。最后，山石云铠提供安全透视镜功能，能够为安全管理人员直观的呈现容器集群的网络互访关系画像，帮助安全管理人员快速聚焦违规流量，及时进行安全分析和响应，从而提高容器集群的安全性。

容器镜像的合规检查、漏洞扫描和病毒查杀

根据《网络安全等级保护容器安全要求》要求：

应确保容器镜像只使用安全的基础容器镜像，仅包含必要的软件包或组件，对不安全镜像进行告警，并实现拦截；

除基础平台组件外，应禁止业务容器实例使用特权用户和特权模式运行，并对特权用户运行容器行为进行告警并拦截；

应确保容器镜像修复超危、高危、中危及低危网络安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码，对危险容器镜像告警并阻止该镜像加入容器仓库。

山石云铠遵循安全基线合规标准，提供了对容器和镜像的合规性检查功能。它能够检查容器和镜像的配置文件、安全参数、组件状态、权限设置等多个方面，以确保其符合安全基线合规要求，减少潜在的合规风险。

除了合规性检查，山石云铠还支持容器和镜像的漏洞扫描和病毒查杀功能。通过进行漏洞扫描，山石云铠可以及时识别和报告容器和镜像中已知的漏洞，以便用户及时修复。同时，通过病毒查杀功能，它能够检测和清除容器和镜像中的潜在病毒文件，有效预防黑客攻击。

容器运行的安全验证和准入控制

根据《网络安全等级保护容器安全要求》要求：

应在容器镜像创建或部署过程中集成扫描功能，支持对Dockerfile和容器镜像的网络安全漏洞扫描，对不安全的镜像进行告警并阻断创建或部署流程。

山石云铠提供了灵活的准入控制功能，使安全管理人员能够根据容器/镜像的合规检查结果、Kubernetes应用标签、镜像漏洞扫描结果等多个因素自定义容器的准入策略。通过准入策略，山石云铠在容器运行时对其进行安全验证。如果容器不符合设定的安全要求，它可以自动进行告警或阻断容器的运行。这样可以防止不符合安全要求的容器进入运行状态，降低容器集群的安全风险。

容器实例的入侵防护和响应处置

根据《网络安全等级保护容器安全要求》要求：

应监测对管理平台和容器实例的攻击行为并拦截，例如容器逃逸、用户提权；

应对失陷容器进行响应处置，例如关闭或细粒度隔离容器。

山石云铠提供了强大的入侵防御功能，内置的丰富入侵特征，能够检测到多种威胁，包括web后门利用、反弹shell攻击、本地提权等常见攻击手法。除了内置特征，山石云铠还支持根据特定的条件自定义入侵检测特征和规则，例如基于命令行等特征条件。用户可以根据自身的需求和环境特点，灵活定义入侵检测规则，满足多样化的入侵防护需求。

对于发现的威胁，山石云铠支持自动告警，及时通知安全管理人员发现的入侵事件。此外，山石云铠还可以停用相关进程或容器，有效阻断攻击的进一步扩散和影响。对于风险容器，山石云铠还支持基于微隔离技术进行隔离，限制其对其他容器和系统的影响，提高整体安全性。

容器状态的安全监控和风险阻断

根据《网络安全等级保护容器安全要求》要求：

应审计容器实例事件，包括进程、文件、网络等事件。

应监测容器实例运行过程中的恶意代码上传、下载、横向传播行为并拦截。

山石云铠提供了自定义Kubernetes应用学习时长的功能，允许用户根据实际需求设置学习时长。在学习期间，山石云铠会通过自动学习分析应用的进程、文件和网络行为，并生成相应的行为模型。安全管理人员可以快速将这些行为模型转化为行为规则，这些规则可以用于检测和识别不合规的行为，例如异常文件操作或可疑网络通信等。发现不合规行为后，山石云铠会自动进行告警、阻断或停用等动作，以确保容器集群的安全性。

容器安全日志的备份

根据《网络安全等级保护容器安全要求》要求：

应实现审计数据留存或备份，审计数据保存时间应符合法律法规要求。

山石云铠支持与日志服务器联动，将平台的安全日志定期备份到日志服务器，满足安全数据保存时间的需求。

除了为容器集群提供安全防护以外，山石云铠还支持为物理服务器、虚拟机等云工作负载提供一站式的安全防护解决方案，覆盖私有云、公有云、混合云等多云场景，为复杂的企业业务环境构建统一的安全防护体系！

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。