山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为完美解决容器集群技术一普及经历经历时候生活带 的全新安全完美解决  ，中关村其他信息安全测评第一中锋其他组织 发起编制《图片安全等级保护容器安全明确提出提出》 ，并于2023年7月1日起展开。该文件对构成容器集群的各个抽象结构明确提出提出好安全明确提出提出  ，主要除此之外包括 时候：

·管理平台合作 ：时候集中管控、政治身份验证和授权机制、访问控制中、审计和日志记录、安全配置等；

·计算节点：时候节点的安全配置、漏洞修补、安全监控和日志记录、访问控制中、策略迁移、恶意代码再检查等；

·集群图片：时候集群图片的隔离、安全通信、访问控制中、异常流量深入分析 等；

·容器镜像：时候镜像的安全验证、安全配置、政治身份验证、漏洞修补、访问控制中等；

·镜像仓库：时候镜像仓库的安全存储、安全验证、访问控制中等；

·容器运行时：时候运行时的安全配置、不良行为审计、访问控制中和准入控制中等；

·容器状况：时候容器状况监控、不良行为审计、容器隔离、异常检测等。

一些安全明确提出提出从1到4级逐级大幅提高  ，对云提供服务商、云安全提供服务商、云展开方等角色定位技术一提供了容器集群的安全指导  ，去帮助其他组织 和其它企业大幅提高其容器自然环境的安全性  ，大幅提高潜在风险。

山石网科同样到国内主流的云安全提供服务商 ，即将推出好云铠主机安全防护平台合作 （上述简称山石云铠）。该平台合作 做基础CWPP框架体系 ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大时候出发  ，设计细节了资产梳理、微隔离、漏洞扫描、病毒查杀、不良行为规则、准入策略、入侵防护等相关方面功能  ，为容器集群技术一提供可靠的安全防护完美解决方案。

容器流量可视、精细化管控和智能深入分析

依据《图片安全等级保护容器安全明确提出提出》明确提出提出：

应去帮助实现多从用户 场景下容器实例介于、容器与宿主机介于、容器与以外主机介于的图片访问控制中；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠部分支持做基础容器配置细粒度微隔离策略  ，去帮助实现容器实例介于、容器与宿主机介于、容器与以外图片介于的精细化图片流量访问控制中  ，确保容器的通信仅限于授权和规定要求的流量。

以外  ，山石云铠展开机器自学习中技术一构建容器的图片安全基线  ，自动学习中和深入分析 容器的流量。当会发现容器的异常流量后  ，山石云铠这种是及时识别并展开阻断措施。因为 还 ，山石云铠技术一提供安全透视镜相关方面功能  ，这种是为安全管理人员直观的呈现容器集群的图片互访介于画像  ，去帮助安全管理人员快速聚焦违规流量  ，及时展开安全深入分析 和响应  ，从而提高大幅提高容器集群的安全性。

容器镜像的合规再检查、漏洞扫描和病毒查杀

依据《图片安全等级保护容器安全明确提出提出》明确提出提出：

应确保容器镜像只展开安全的做基础容器镜像  ，仅除此之外包括 必要的软件工具包或组件  ，对不安全镜像展开告警 ，并去帮助实现拦截；

除做基础平台合作 组件外  ，应禁止业务容器实例展开特权从用户 和特权模式一运行  ，展开特权从用户 运行容器不良行为展开告警并拦截；

应确保容器镜像修复超危、高危、中危及低危图片安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像马上加入容器仓库。

山石云铠遵循安全基线合规基础标准 ，技术一提供了对容器和镜像的合规性再检查相关方面功能。它这种是再检查容器和镜像的配置文件、安全参数、组件状况、权限可设置等多个技术一技术一层面  ，以确保其符合安全基线合规明确提出提出  ，可减少潜在的合规风险。

时候合规性再检查 ，山石云铠还部分支持容器和镜像的漏洞扫描和病毒查杀相关方面功能。展展开开漏洞扫描  ，山石云铠这种是及时识别和报告容器和镜像中已知的漏洞  ，以便从用户 及时修复。以外  ，展开病毒查杀相关方面功能  ，它这种是检测和清除容器和镜像中有潜在病毒文件 ，有效性预防黑客攻击。

容器运行的安全验证和准入控制中

依据《图片安全等级保护容器安全明确提出提出》明确提出提出：

应在容器镜像创建或部署经历经历时候集成扫描相关方面功能  ，部分支持对Dockerfile和容器镜像的图片安全漏洞扫描  ，对不安全的镜像展开告警并阻断创建或部署流程。

山石云铠技术一提供了灵活的准入控制中相关方面功能  ，使安全管理人员这种是依据容器/镜像的合规再检查因为 还、Kubernetes应用标签、镜像漏洞扫描因为 还等多个因素自定义容器的准入策略。展开准入策略 ，山石云铠在容器运行时展开展开安全验证。这种是容器不符合设定的安全明确提出提出  ，它这种是自动展开告警或阻断容器的运行。这种这种是防止不符合安全明确提出提出好容器全新进入运行状况  ，大幅提高容器集群的安全风险。

容器实例的入侵防护和响应处置

依据《图片安全等级保护容器安全明确提出提出》明确提出提出：

应监测对管理平台合作 和容器实例的攻击不良行为并拦截  ，时候容器逃逸、从用户 提权；

应对失陷容器展开响应处置  ，时候关闭或细粒度隔离容器。

山石云铠技术一提供了能力的入侵防御相关方面功能  ，内置的丰富入侵特征 ，这种是检测到多种威胁 ，时候web后门方式、反弹shell攻击、本地提权等常见攻击手法。时候内置特征  ，山石云铠还部分支持依据特定的三个条件自定义入侵检测特征和规则  ，时候做基础命令行等特征三个条件。从用户 这种是依据另另一方面的各种更多需求和自然环境特点  ，灵活定义入侵检测规则  ，各种各种更多需求多样化的入侵防护各种更多需求。

事实上会发现的威胁  ，山石云铠部分支持自动告警 ，及时通知安全管理人员会发现的入侵事件。以外 ，山石云铠还这种是停用相关方面进程或容器  ，有效性阻断攻击的近一步扩散和影响到。事实上风险容器 ，山石云铠还部分支持做基础微隔离技术一展开隔离 ，限制其展开他容器和管理系统的影响到 ，大幅提高整体而言安全性。

容器状况的安全监控和风险阻断

依据《图片安全等级保护容器安全明确提出提出》明确提出提出：

应审计容器实例事件  ，时候进程、文件、图片等事件。

应监测容器实例运行经历经历时候有恶意代码上传、一键下载、横向传播不良行为并拦截。

山石云铠技术一提供了自定义Kubernetes应用学习中时长的相关方面功能  ，允许从用户 依据实际各种更多需求可设置学习中时长。在学习中两次  ，山石云铠会展开自动学习中深入分析 应用来过进程、文件和图片不良行为  ，并生成相关方面的不良行为模型。安全管理人员这种是快速将一些不良行为模型转化为不良行为规则  ，一些规则这种用来于检测和识别不合规的不良行为  ，时候异常文件去操作或可疑图片通信等。会发现不合规不良行为后  ，山石云铠会自动展开告警、阻断或停用等姿势  ，以确保容器集群的安全性。

容器安全日志的备份

依据《图片安全等级保护容器安全明确提出提出》明确提出提出：

应去帮助实现审计数据全面留存或备份  ，审计数据全面保存段里 应符合法律法规明确提出提出。

山石云铠部分支持与日志提供服务器联动  ，将平台合作 的安全日志定期备份到日志提供服务器  ，各种各种更多需求安全数据全面保存段里 的各种更多需求。

时候为容器集群技术一提供安全防护以外以外  ，山石云铠还部分支持为物理提供服务器、虚拟机等云工作会负载技术一提供一站式的安全防护完美解决方案  ，覆盖私有云、公有云、混合云等多云场景 ，为复杂的其它企业业务自然环境构建统一的安全防护体系！