山石网科容器等级保护解决方案,为用户筑牢安全防护墙
- 时间:
- 浏览:0
为需要完美解决 容器集群传统技术 普及环节所中带给的的新安通信人家园全需要需要完美解决 ,中关村数据信息安全测评防守效率参与组织发起编制《以以及网络安全等级保护容器安全要求要求》,并于2023年7月1日起通信人家园开展。该文件对构成容器集群的各个抽象结构要求要求了安全要求要求,多方面例如通信人家园:
·管理大平台:例如集中管控、真实身份验证和授权机制、访问全面控制、审计和日志记录、安全配置等;
·计算节点:例如节点的安全配置、漏洞修补、安全监控和日志记录、访问全面控制、策略迁移、恶意代码全面检查等;
·集群以以及网络:例如集群以以及网络的隔离、安全通信、访问全面控制、异常流量分析结论等;
·容器镜像:例如镜像的安全验证、安全配置、真实身份验证、漏洞修补、访问全面控制等;
·镜像仓库:例如镜像仓库的安全存储、安全验证、访问全面控制等;
·容器运行时:例如运行时的安全配置、行为方面审计、访问全面控制和准入全面控制等;
·容器整体呈现状态:例如容器整体呈现状态监控、行为方面审计、容器隔离、异常检测等。
那样的 安全要求要求从1到4级逐级显著提高,对云支持服务商、云安全支持服务商、云开展方等角色性格 提供更多了容器集群的安全指导,帮住参与组织和中小企业 显著提高其容器小环境的安全性,显著提高潜在风险。
山石网科做为中国国内主流的云安全支持服务商,另外推出大云铠主机安全防护大平台(如下简称山石云铠)。该大平台概念基础CWPP框架体系,从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大环节出发,设计搭配了资产梳理、微隔离、漏洞扫描、病毒查杀、行为方面规则、准入策略、入侵防护等功能包括,为容器集群提供更多可靠的安全防护需要完美解决 方案。
容器流量可视、精细化管控和智能分析结论
依据《以以及网络安全等级保护容器安全要求要求》要求要求:
应努力实现多更多用户场景下容器实例间的、容器与宿主机间的、容器与除此主机间的的以以及网络访问全面控制;
应监测容器集群内异常流量,对异常流量拦截。
山石云铠最大支持概念基础容器配置细粒度微隔离策略,努力实现容器实例间的、容器与宿主机间的、容器与除此以以及网络间的的精细化以以及网络流量访问全面控制,确保容器的通信仅限于授权和法律规定的流量。
除此,山石云铠开展机器通信人家园自去学习传统技术 构建容器的以以及网络安全基线,自动去学习和分析结论容器的流量。当能发现容器的异常流量后,山石云铠假如及时识别并开展阻断措施。结果呢,山石云铠提供更多安全透视镜功能包括,假如为安全管理人通信人家园员直观的呈现容器集群的以以及网络互访间的画像,帮住安全管理人员快速聚焦违规流量,及时开展安全分析结论和响应,由此显著提高容器集群的安全性。
容器镜像的合规全面检查、漏洞扫描和病毒查杀
依据《以以及网络安全等级保护容器安全要求要求》要求要求:
应确保容器镜像只开展安全的概念基础容器镜像,仅另外包括 必要的工具软件包或组件,对不安全镜像开展告警,并努力实现拦截;
除概念基础大平台组件外,应禁止业务容器实例开展特权更多用户和特权三大模式运行,开展特权更多用户运行容器行为方面开展告警并拦截;
应确保容器镜像修复超危、高危、中危及低危以以及网络安全漏洞;
应识别容器镜像内的病毒、木马等恶意代码,对危险容器镜像告警并阻止该镜像中途加入容器仓库。
山石云铠遵循安全基线合规其他标准,提供更多了对容器和镜像的合规性全面检查功能包括。它假如全面检查容器和镜像的配置文件、安全参数、组件整体呈现状态、权限包括设置等多个多个方面,以确保其符合安全基线合规要求要求,明显减少潜在的合规风险。
例如合规性全面检查,山石云铠还最大支持容器和镜像的漏洞扫描和病毒查杀功能包括。开开展展漏洞扫描,山石云铠假如及时识别和报告容器和镜像中已知的漏洞,以便更多用户及时修复。除此,开展病毒查杀功能包括,它假如检测和清除容器和镜像中则 潜在病毒文件,持续有效预防黑客攻击。
容器运行的安全验证和准入全面控制
依据《以以及网络安全等级保护容器安全要求要求》要求要求:
应在容器镜像创建或部署环节所中集成扫描功能包括,最大支持对Dockerfile和容器镜像的以以及网络安全漏洞扫描,对不安全的镜像开展告警并阻断创建或部署流程。
山石云铠提供更多了灵活的准入全面控制功能包括,使安全管理人员假如依据容器/镜像的合规全面检查结果呢、Kubernetes应用标签、镜像漏洞扫描结果呢等多个因素自定义容器的准入策略。开展准入策略,山石云铠在容器运行时开开展展安全验证。假如容器不符合设定的安全要求要求,它假如自动开展告警或阻断容器的运行。那样假如防止不符合安全要求要求的容器正式进入运行整体呈现状态,显著提高容器集群的安全风险。
容器实例的入侵防护和响应处置
依据《以以及网络安全等级保护容器安全要求要求》要求要求:
应监测对管理大平台和容器实例的攻击行为方面并拦截,例如容器逃逸、更多用户提权;
应对失陷容器开展响应处置,例如关闭或细粒度隔离容器。
山石云铠提供更多了强悍的入侵防御功能包括,内置的丰富入侵特征,假如检测到多种威胁,例如web后门多种手段、反弹shell攻击、本地提权等常见攻击手法。例如内置特征,山石云铠还最大支持依据特定的全部条件自定义入侵检测特征和规则,例如概念基础命令行等特征全部条件。更多用户假如依据多方面的更满足 和小环境特点,灵活定义入侵检测规则,更满足 多样化的入侵防护更满足 。
结果呢能发现的威胁,山石云铠最大支持自动告警,及时通知安全管理人员能发现的入侵事件。除此,山石云铠还假如停用有关进程或容器,持续有效阻断攻击的强化扩散和影响到。结果呢风险容器,山石云铠还最大支持概念基础微隔离传统技术 开展隔离,限制其开展他容器和工具软件系统的影响到,显著提高整体呈现安全性。
容器整体呈现状态的安全监控和风险阻断
依据《以以及网络安全等级保护容器安全要求要求》要求要求:
应审计容器实例事件,例如进程、文件、以以及网络等事件。
应监测容器实例运行环节所中则 恶意代码上传、上下载、横向传播行为方面并拦截。
山石云铠提供更多了自定义Kubernetes应用去学习时长的功能包括,允许更多用户依据实际更满足 包括设置去学习时长。在去学习结束后,山石云铠会开展自动去学习分析结论应用过方式进程、文件和以以及网络行为方面,并生成有关的行为方面模型。安全管理人员假如快速将那样的 行为方面模型转化为行为方面规则,那样的 规则假如用于检测和识别不合规的行为方面,例如异常文件操作多种手段或可疑以以及网络通信等。能发现不合规行为方面后,山石云铠会自动开展告警、阻断或停用等各种动作 ,以确保容器集群的安全性。
容器安全日志的备份
依据《以以及网络安全等级保护容器安全要求要求》要求要求:
应努力实现审计综合数据留存或备份,审计综合数据保存时间吧应符合法律法规要求要求。
山石云铠最大支持与日志支持服务器联动,将大平台的安全日志定期备份到日志支持服务器,更满足 安全综合数据保存时间吧的更满足 。
例如为容器集群提供更多安全防护除此,山石云铠还最大支持为物理支持服务器、虚拟机等云部门工作负载提供更多一站式的安全防护需要完美解决 方案,覆盖私有云、公有云、混合云等多云场景,为复杂的中小企业 业务小环境构建统一的安全防护体系!