山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为核心彻底解决容器集群传统技术 普及动态动态环节能给新的发展的发展安全核心彻底解决  ，中关村关键信息安全测评火箭队 相关事件组织发起编制《必删 安全等级保护容器安全提出要求提出要求》 ，并于2023年7月1日起予以 。该文件对构成容器集群的各个抽象结构提出要求提出要求了安全提出要求提出要求  ，主要由其中其中 ：

·管理平台发布：其中其中 集中管控、其他身份验证和授权机制、访问可以控制、审计和日志记录、安全配置等；

·计算节点：其中其中 节点的安全配置、漏洞修补、安全监控和日志记录、访问可以控制、策略迁移、恶意代码再次检查等；

·集群必删 ：其中其中 集群必删 的隔离、安全通信、访问可以控制、异常流量深度分析等；

·容器镜像：其中其中 镜像的安全验证、安全配置、其他身份验证、漏洞修补、访问可以控制等；

·镜像仓库：其中其中 镜像仓库的安全存储、安全验证、访问可以控制等；

·容器运行时：其中其中 运行时的安全配置、行为方面审计、访问可以控制和准入可以控制等；

·容器那种状态：其中其中 容器那种状态监控、行为方面审计、容器隔离、异常检测等。

某些安全提出要求提出要求从1到4级逐级从整体提高  ，对云增值服务商、云安全增值服务商、云予以 方等人物角色提供更多了容器集群的安全指导 ，能够相关事件组织和企业另另一方面从整体提高其容器外部环境的安全性  ，从整体提高潜在风险。

山石网科成为作为国内主流的云安全增值服务商  ，值得注意推还出云铠主机安全防护平台发布（以内 简称山石云铠）。该平台发布此基础CWPP框架体系  ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大环节出发  ，设计造型 了资产梳理、微隔离、漏洞扫描、病毒查杀、行为方面规则、准入策略、入侵防护等其功能  ，为容器集群提供更多可靠的安全防护核心彻底解决方案。

容器流量可视、精细化管控和智能深度分析

可以根据《必删 安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应实现此基础 多所有用户场景下容器实例他们之间、容器与宿主机他们之间、容器与别的主机他们之他们之间必删 访问可以控制；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠都支持此基础容器配置细粒度微隔离策略  ，实现此基础 容器实例他们之间、容器与宿主机他们之间、容器与别的必删 他们之他们之间精细化必删 流量访问可以控制  ，确保容器的通信仅限于授权和第十九条 的流量。

别的 ，山石云铠予以 机器自来学习传统技术 构建容器的必删 安全基线 ，自动来学习和深度分析容器的流量。当意外发现容器的异常流量后 ，山石云铠如此及时识别并予以 阻断措施。最后的  ，山石云铠提供更多安全透视镜其功能 ，如此为安全管理人员直观的呈现容器集群的必删 互访他们之间画像  ，能够安全管理人员快速聚焦违规流量  ，及时予以 安全深度分析和响应  ，从而提高从整体提高容器集群的安全性。

容器镜像的合规再次检查、漏洞扫描和病毒查杀

可以根据《必删 安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应确保容器镜像只予以 安全的此基础容器镜像  ，仅其中必要的软件工具包或组件  ，对不安全镜像予以 告警  ，并实现此基础 拦截；

除此基础平台发布组件外 ，应禁止业务容器实例予以 特权所有用户和特权模式一运行  ，予以 特权所有用户运行容器行为方面予以 告警并拦截；

应确保容器镜像修复超危、高危、中危及低危必删 安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像中途加入容器仓库。

山石云铠遵循安全基线合规两个标准  ，提供更多了对容器和镜像的合规性再次检查其功能。它如此再次检查容器和镜像的配置文件、安全参数、组件那种状态、权限不设置等多个主要由  ，以确保其符合安全基线合规提出要求提出要求  ，增加潜在的合规风险。

其中其中 合规性再次检查  ，山石云铠还都支持容器和镜像的漏洞扫描和病毒查杀其功能。予以 予以 漏洞扫描  ，山石云铠如此及时识别和报告容器和镜像中已知的漏洞  ，以便所有用户及时修复。别的 ，予以 病毒查杀其功能  ，它如此检测和清除容器和镜像中不潜在病毒文件  ，有效性预防黑客攻击。

容器运行的安全验证和准入可以控制

可以根据《必删 安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应在容器镜像创建或部署动态动态环节集成扫描其功能  ，都支持对Dockerfile和容器镜像的必删 安全漏洞扫描 ，对不安全的镜像予以 告警并阻断创建或部署流程。

山石云铠提供更多了灵活的准入可以控制其功能 ，使安全管理人员如此可以根据容器/镜像的合规再次检查最后的、Kubernetes应用标签、镜像漏洞扫描最后的等多个因素自定义容器的准入策略。予以 准入策略 ，山石云铠在容器运行时予以 予以 安全验证。如此容器不符合设定的安全提出要求提出要求  ，它如此自动予以 告警或阻断容器的运行。某些话防止不符合安全提出要求提出要求的容器提前进入运行那种状态 ，从整体提高容器集群的安全风险。

容器实例的入侵防护和响应处置

可以根据《必删 安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应监测对管理平台发布和容器实例的攻击行为方面并拦截  ，其中其中 容器逃逸、所有用户提权；

应对失陷容器予以 响应处置  ，其中其中 关闭或细粒度隔离容器。

山石云铠提供更多了能力强大强特别大入侵防御其功能  ，内置的丰富入侵特征  ，如此检测到多种威胁  ，其中其中 web后门利用另另一方面、反弹shell攻击、本地提权等常见攻击手法。其中其中 内置特征 ，山石云铠还都支持可以根据特定的客观条件自定义入侵检测特征和规则  ，其中其中 此基础命令行等特征客观条件。所有用户如此可以根据另另一方面的能消费需求和外部环境特点  ，灵活定义入侵检测规则  ，能消费需求多样化的入侵防护能消费需求。

来讲意外发现的威胁  ，山石云铠都支持自动告警  ，及时通知安全管理人员意外发现的入侵事件。别的 ，山石云铠还如此停用相关事件进程或容器  ，有效性阻断攻击的强化扩散和特别大影响。来讲风险容器 ，山石云铠还都支持此基础微隔离传统技术 予以 隔离  ，限制其予以 他容器和系统中的特别大影响  ，从整体提高从整体安全性。

容器那种状态的安全监控和风险阻断

可以根据《必删 安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应审计容器实例事件 ，其中其中 进程、文件、必删 等事件。

应监测容器实例运行动态动态环节不恶意代码上传、下载安装、横向传播行为方面并拦截。

山石云铠提供更多了自定义Kubernetes应就用 学习时长的其功能 ，允许所有用户可以可以根据能消费需求不设置来学习时长。在来学习之前  ，山石云铠会予以 自动来学习深度分析应就用 方式进程、文件和必删 行为方面 ，并生成相关事件的行为方面模型。安全管理人员如此快速将某些行为方面模型转化为行为方面规则  ，某些规则如此用于检测和识别不合规的行为方面  ，其中其中 异常文件操作中或可疑必删 通信等。意外发现不合规行为方面后  ，山石云铠会自动予以 告警、阻断或停用等动作完成  ，以确保容器集群的安全性。

容器安全日志的备份

可以根据《必删 安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应实现此基础 审计数据全面留存或备份 ，审计数据全面保存时间吧应符合法律法规提出要求提出要求。

山石云铠都支持与日志增值服务器联动  ，将平台发布的安全日志定期备份到日志增值服务器  ，能消费需求安全数据全面保存时间吧的能消费需求。

其中其中 为容器集群提供更多安全防护别的  ，山石云铠还都支持为物理增值服务器、虚拟机等云我的工作负载提供更多一站式的安全防护核心彻底解决方案  ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的企业另另一方面业务外部环境构建统一的安全防护体系！