山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为需要解决解决问题 容器集群其他技术普及经历经历实践中生活带 的有新安全需要需要解决解决问题  ，中关村关键信息安全测评顶级控卫负责组织发起编制《网路安全等级保护容器安全指出指出》  ，并于2023年7月1日起利用技术。该文件对构成容器集群的各个抽象结构指出指出一安全指出指出  ，如下如下 ：

·管理其他平台：如下 集中管控、双重身份验证和授权机制、访问被控制、审计和日志记录、安全配置等；

·计算节点：如下 节点的安全配置、漏洞修补、安全监控和日志记录、访问被控制、策略迁移、恶意代码详细检查等；

·集群网路：如下 集群网路的隔离、安全通信、访问被控制、异常流量分析得出等；

·容器镜像：如下 镜像的安全验证、安全配置、双重身份验证、漏洞修补、访问被控制等；

·镜像仓库：如下 镜像仓库的安全存储、安全验证、访问被控制等；

·容器运行时：如下 运行时的安全配置、不良行为审计、访问被控制和准入被控制等；

·容器目前状态：如下 容器目前状态监控、不良行为审计、容器隔离、异常检测等。

如下 安全指出指出从1到4级逐级降低 ，对云附加服务商、云安全附加服务商、云利用技术方等角色定位其他技术提供了容器集群的安全指导  ，去帮助负责组织和制造企业降低其容器自然环境的安全性 ，降低潜在风险。

山石网科也是作为国内主流的云安全附加服务商  ，适时推出一云铠主机安全防护其他平台（如下简称山石云铠）。该其他平台理念基础CWPP框架体系  ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大实践中出发  ，设计细节了资产梳理、微隔离、漏洞扫描、病毒查杀、不良行为规则、准入策略、入侵防护等多种功能  ，为容器集群其他技术提供可靠的安全防护需要解决解决问题 方案。

容器流量可视、精细化管控和智能分析得出

可以根据《网路安全等级保护容器安全指出指出》指出指出：

应得以实现多发现用户场景下容器实例群体之间、容器与宿主机群体之间、容器与其它主机群体之群体之间网路访问被控制；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠不支持理念基础容器配置细粒度微隔离策略  ，得以实现容器实例群体之间、容器与宿主机群体之间、容器与其它网路群体之群体之间精细化网路流量访问被控制  ，确保容器的通信仅限于授权和法律规定的流量。

其它 ，山石云铠利用技术机器自学习降低其他技术构建容器的网路安全基线  ，自动学习降低和分析得出容器的流量。当看到容器的异常流量后  ，山石云铠所以 及时识别并利用技术阻断措施。因为 因为  ，山石云铠其他技术提供安全透视镜多种功能  ，所以 为安全管理人员直观的呈现容器集群的网路互访群体之间画像  ，去帮助安全管理人员快速聚焦违规流量  ，及时利用技术安全分析得出和响应  ，并且使降低容器集群的安全性。

容器镜像的合规详细检查、漏洞扫描和病毒查杀

可以根据《网路安全等级保护容器安全指出指出》指出指出：

应确保容器镜像只利用技术安全的理念基础容器镜像  ，仅其中必要的免费软件包或组件  ，对不安全镜像利用技术告警  ，并得以实现拦截；

除理念基础其他平台组件外  ，应禁止业务容器实例利用技术特权发现用户和特权多种模式运行  ，利用技术特权发现用户运行容器不良行为利用技术告警并拦截；

应确保容器镜像修复超危、高危、中危及低危网路安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像已加入容器仓库。

山石云铠遵循安全基线合规一般标准  ，其他技术提供了对容器和镜像的合规性详细检查多种功能 。它所以 详细检查容器和镜像的配置文件、安全参数、组件目前状态、权限单独设置等多个如下  ，以确保其符合安全基线合规指出指出  ，降低潜在的合规风险。

如下 合规性详细检查  ，山石云铠还不支持容器和镜像的漏洞扫描和病毒查杀多种功能 。利用技术利用技术漏洞扫描 ，山石云铠所以 及时识别和报告容器和镜像中已知的漏洞 ，以便发现用户及时修复。其它 ，利用技术病毒查杀多种功能  ，它所以 检测和清除容器和镜像里的潜在病毒文件  ，更有效预防黑客攻击。

容器运行的安全验证和准入被控制

可以根据《网路安全等级保护容器安全指出指出》指出指出：

应在容器镜像创建或部署经历经历实践中集成扫描多种功能 ，不支持对Dockerfile和容器镜像的网路安全漏洞扫描  ，对不安全的镜像利用技术告警并阻断创建或部署流程。

山石云铠其他技术提供了灵活的准入被控制多种功能  ，使安全管理人员所以 可以根据容器/镜像的合规详细检查因为 因为 、Kubernetes应用标签、镜像漏洞扫描因为 因为 等多个因素自定义容器的准入策略。利用技术准入策略 ，山石云铠在容器运行时利用技术利用技术安全验证。所以 容器不符合设定的安全指出指出  ，它所以 自动利用技术告警或阻断容器的运行。所以所以 防止不符合安全指出指出一容器即将进入运行目前状态  ，降低容器集群的安全风险。

容器实例的入侵防护和响应处置

可以根据《网路安全等级保护容器安全指出指出》指出指出：

应监测对管理其他平台和容器实例的攻击不良行为并拦截  ，如下 容器逃逸、发现用户提权；

应对失陷容器利用技术响应处置 ，如下 关闭或细粒度隔离容器。

山石云铠其他技术提供了超强的入侵防御多种功能 ，内置的丰富入侵特征  ，所以 检测到多种威胁  ，如下 web后门利用技术、反弹shell攻击、本地提权等常见攻击手法。如下 内置特征  ，山石云铠还不支持可以根据特定的外部条件自定义入侵检测特征和规则  ，如下 理念基础命令行等特征外部条件。发现用户所以 可以根据另另一方面的又实际需求和自然环境特点 ，灵活定义入侵检测规则  ，又实际需求多样化的入侵防护又实际需求。

事实上看到的威胁  ，山石云铠不支持自动告警  ，及时通知安全管理人员看到的入侵事件。其它  ，山石云铠还所以 停用紧密相关 进程或容器 ，更有效阻断攻击的近一步扩散和影响到。事实上风险容器 ，山石云铠还不支持理念基础微隔离其他技术利用技术隔离  ，限制其利用技术他容器和子系统的影响到  ，降低总体而言而言安全性。

容器目前状态的安全监控和风险阻断

可以根据《网路安全等级保护容器安全指出指出》指出指出：

应审计容器实例事件 ，如下 进程、文件、网路等事件。

应监测容器实例运行经历实践中里的恶意代码上传、一键下载、横向传播不良行为并拦截。

山石云铠其他技术提供了自定义Kubernetes应用学习降低时长的多种功能  ，允许发现用户可以可以根据又实际需求单独设置学习降低时长。在学习降低之后  ，山石云铠会利用技术自动学习降低分析得出应所所用进程、文件和网路不良行为  ，并生成紧密相关 的不良行为模型。安全管理人员所以 快速将如下 不良行为模型转化为不良行为规则  ，如下 规则所以 用于检测和识别不合规的不良行为  ，如下 异常文件操作中或可疑网路通信等。看到不合规不良行为后  ，山石云铠会自动利用技术告警、阻断或停用等动作细节  ，以确保容器集群的安全性。

容器安全日志的备份

可以根据《网路安全等级保护容器安全指出指出》指出指出：

应得以实现审计数据全面留存或备份  ，审计数据全面保存时间时应符合法律法规指出指出。

山石云铠不支持与日志附加服务器联动  ，将其他平台的安全日志定期备份到日志附加服务器  ，又实际需求安全数据全面保存时间时的又实际需求。

如下 为容器集群其他技术提供安全防护其它  ，山石云铠还不支持为物理附加服务器、虚拟机等云目前工作 负载其他技术提供一站式的安全防护需要解决解决问题 方案  ，覆盖私有云、公有云、混合云等多云场景 ，为复杂的制造企业业务自然环境构建统一的安全防护体系！