山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为彻底解决容器集群传统技术 普及积累积累阶段将给的的新安全彻底解决  ，中关村其他信息安全测评东部联盟负责组织发起编制《及网络安全等级保护容器安全依照明确提出提出 》  ，并于2023年7月1日起实施。该文件对构成容器集群的各个抽象结构依照明确提出提出 了安全依照明确提出提出  ，主要主要包括的的：

·管理平台发展：的的集中管控、社会身份验证和授权机制、访问控制中、审计和日志记录、安全配置等；

·计算节点：的的节点的安全配置、漏洞修补、安全监控和日志记录、访问控制中、策略迁移、恶意代码检查确认 等；

·集群及网络：的的集群及网络的隔离、安全通信、访问控制中、异常流量详细分析等；

·容器镜像：的的镜像的安全验证、安全配置、社会身份验证、漏洞修补、访问控制中等；

·镜像仓库：的的镜像仓库的安全存储、安全验证、访问控制中等；

·容器运行时：的的运行时的安全配置、行为性质审计、访问控制中和准入控制中等；

·容器处于：的的容器处于监控、行为性质审计、容器隔离、异常检测等。

这个安全依照明确提出提出 从1到4级逐级增强  ，对云增值服务商、云安全增值服务商、云实施方等人物角色人员提供了容器集群的安全指导  ，帮组负责组织和企业所增强其容器环境中的安全性  ，增强潜在风险。

山石网科也是作为国内主流的云安全增值服务商  ，最最新推出三云铠主机安全防护平台发展（上述简称山石云铠）。该平台发展技术基础CWPP框架体系  ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大阶段出发 ，设计理念了资产梳理、微隔离、漏洞扫描、病毒查杀、行为性质规则、准入策略、入侵防护等重要功能 ，为容器集群人员提供可靠的安全防护彻底解决方案。

容器流量可视、精细化管控和智能详细分析

依照《及网络安全等级保护容器安全依照明确提出提出 》依照明确提出提出 ：

应能实现多普通用户场景下容器实例群体之间、容器与宿主机群体之间、容器与除此其他人主机群体之群体之间及网络访问控制中；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠部分支持技术基础容器配置细粒度微隔离策略  ，能实现容器实例群体之间、容器与宿主机群体之间、容器与除此其他人及网络群体之群体之间精细化及网络流量访问控制中  ，确保容器的通信仅限于授权和特别规定的流量。

的的 ，山石云铠实施机器自努力学习传统技术 构建容器的及网络安全基线 ，自动努力学习和详细分析容器的流量。当发现它容器的异常流量后  ，山石云铠的话 及时识别并实施阻断措施。还是  ，山石云铠人员提供安全透视镜重要功能  ，的话 为安全管理人员直观的呈现容器集群的及网络互访群体之间画像  ，帮组安全管理人员快速聚焦违规流量  ，及时实施安全详细分析和响应  ，因此增强容器集群的安全性。

容器镜像的合规检查确认 、漏洞扫描和病毒查杀

依照《及网络安全等级保护容器安全依照明确提出提出 》依照明确提出提出 ：

应确保容器镜像只实施安全的技术基础容器镜像  ，仅主要包括必要的软件程序 包或组件  ，对不安全镜像实施告警  ，因此实现拦截；

除技术基础平台发展组件外  ，应禁止业务容器实例实施特权普通用户和特权常规模式 运行  ，实施特权普通用户运行容器行为性质实施告警并拦截；

应确保容器镜像修复超危、高危、中危及低危及网络安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像加入中国 容器仓库。

山石云铠遵循安全基线合规基本标准  ，人员提供了对容器和镜像的合规性检查确认 重要功能。它的话 检查确认 容器和镜像的配置文件、安全参数、组件处于、权限一般设置 等多个多个方面  ，以确保其符合安全基线合规依照明确提出提出  ，减小潜在的合规风险。

的的合规性检查确认  ，山石云铠还部分支持容器和镜像的漏洞扫描和病毒查杀重要功能。实施实施漏洞扫描 ，山石云铠的话 及时识别和报告容器和镜像中已知的漏洞  ，以便普通用户及时修复。的的  ，实施病毒查杀重要功能  ，它的话 检测和清除容器和镜像中都潜在病毒文件  ，更有效预防黑客攻击。

容器运行的安全验证和准入控制中

依照《及网络安全等级保护容器安全依照明确提出提出 》依照明确提出提出 ：

应在容器镜像创建或部署积累积累阶段集成扫描重要功能 ，部分支持对Dockerfile和容器镜像的及网络安全漏洞扫描 ，对不安全的镜像实施告警并阻断创建或部署流程。

山石云铠人员提供了灵活的准入控制中重要功能  ，使安全管理人员的话 依照容器/镜像的合规检查确认 还是 、Kubernetes应用标签、镜像漏洞扫描还是 等多个因素自定义容器的准入策略。实施准入策略  ，山石云铠在容器运行时实施实施安全验证。的话 容器不符合设定的安全依照明确提出提出  ，它的话 自动实施告警或阻断容器的运行。的话 的话 防止不符合安全依照明确提出提出 的容器正式进入运行处于  ，增强容器集群的安全风险。

容器实例的入侵防护和响应处置

依照《及网络安全等级保护容器安全依照明确提出提出 》依照明确提出提出 ：

应监测对管理平台发展和容器实例的攻击行为性质并拦截  ，的的容器逃逸、普通用户提权；

应对失陷容器实施响应处置  ，的的关闭或细粒度隔离容器。

山石云铠人员提供了更加强比较大入侵防御重要功能  ，内置的丰富入侵特征 ，的话 检测到多种威胁  ，的的web后门进行 、反弹shell攻击、本地提权等常见攻击手法。的的内置特征 ，山石云铠还部分支持依照特定的三个条件自定义入侵检测特征和规则 ，的的技术基础命令行等特征三个条件。普通用户的话 依照一方面的无法产品需求和环境中特点  ，灵活定义入侵检测规则  ，无法产品需求多样化的入侵防护无法产品需求。

应该发现它的威胁  ，山石云铠部分支持自动告警  ，及时通知安全管理人员发现它的入侵事件。的的 ，山石云铠还的话 停用密切相关进程或容器 ，更有效阻断攻击的逐步扩散和影响到。应该风险容器 ，山石云铠还部分支持技术基础微隔离传统技术 实施隔离 ，限制其实施他容器和系统提供的影响到  ，增强总的来看安全性。

容器处于的安全监控和风险阻断

依照《及网络安全等级保护容器安全依照明确提出提出 》依照明确提出提出 ：

应审计容器实例事件 ，的的进程、文件、及网络等事件。

应监测容器实例运行积累积累阶段都恶意代码上传、下载安装、横向传播行为性质并拦截。

山石云铠人员提供了自定义Kubernetes应用努力学习时长的重要功能  ，允许普通用户依照实际无法产品需求一般设置 努力学习时长。在努力学习时间里  ，山石云铠会实施自动努力学习详细分析应不用上进程、文件和及网络行为性质  ，并生成密切相关的行为性质模型。安全管理人员的话 快速将这个行为性质模型转化为行为性质规则 ，这个规则的话 用于检测和识别不合规的行为性质 ，的的异常文件操作进行 或可疑及网络通信等。发现它不合规行为性质后 ，山石云铠会自动实施告警、阻断或停用等动作动作姿势  ，以确保容器集群的安全性。

容器安全日志的备份

依照《及网络安全等级保护容器安全依照明确提出提出 》依照明确提出提出 ：

应能实现审计数据情况留存或备份  ，审计数据情况保存时间不应符合法律法规依照明确提出提出 。

山石云铠部分支持与日志增值服务器联动  ，将平台发展的安全日志定期备份到日志增值服务器 ，无法产品需求安全数据情况保存时间不的无法产品需求。

的的为容器集群人员提供安全防护除此其他人其他人  ，山石云铠还部分支持为物理增值服务器、虚拟机等云其他人工作负载人员提供一站式的安全防护彻底解决方案  ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的企业所业务环境中构建统一的安全防护体系！