为重要问题容器集群技术实现普及经历经历时候带来什么新的方式的方式安全重要问题  ，中关村重要信息安全测评全联盟领导组织发起编制《及网络安全等级保护容器安全意见》  ，并于2023年7月1日起予以 。该文件对构成容器集群的各个抽象结构意见了安全意见  ，原因例如：

·管理平台合作 ：例如集中管控、双重身份验证和授权机制、访问直接控制 、审计和日志记录、安全配置等；

·计算节点：例如节点的安全配置、漏洞修补、安全监控和日志记录、访问直接控制 、策略迁移、恶意代码检查后等；

·集群及网络：例如集群及网络的隔离、安全通信、访问直接控制 、异常流量详细分析等；

·容器镜像：例如镜像的安全验证、安全配置、双重身份验证、漏洞修补、访问直接控制 等；

·镜像仓库：例如镜像仓库的安全存储、安全验证、访问直接控制 等；

·容器运行时：例如运行时的安全配置、行为形成审计、访问直接控制 和准入直接控制 等；

·容器总的来看状态：例如容器总的来看状态监控、行为形成审计、容器隔离、异常检测等。

例如安全意见从1到4级逐级总的来看提高  ，对云服务方面 商、云安全服务方面 商、云予以 方等反派角色直接提供了容器集群的安全指导  ，帮住领导组织和制造企业总的来看提高其容器总的来看环境的安全性  ，总的来看提高潜在风险。

山石网科被作为到国内主流的云安全服务方面 商  ，适时推出好云铠主机安全防护平台合作 （下面简称山石云铠）。该平台合作 基本框架CWPP框架体系  ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大时候出发 ，独特设计了资产梳理、微隔离、漏洞扫描、病毒查杀、行为形成规则、准入策略、入侵防护等多种功能  ，为容器集群直接提供可靠的安全防护重要问题方案。

容器流量可视、精细化管控和智能详细分析

依据《及网络安全等级保护容器安全意见》意见：

应帮住实现多发现用户场景下容器实例彼此之间、容器与宿主机彼此之间、容器与当然主机彼此之彼此之间及网络访问直接控制 ；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠都支持基本框架容器配置细粒度微隔离策略 ，帮住实现容器实例彼此之间、容器与宿主机彼此之间、容器与当然及网络彼此之彼此之间精细化及网络流量访问直接控制  ，确保容器的通信仅限于授权和第十九条 的流量。

被作为  ，山石云铠予以 机器自继续学习技术实现构建容器的及网络安全基线  ，自动继续学习和详细分析容器的流量。当发现它容器的异常流量后  ，山石云铠还能可被作为时识别并予以 阻断措施。结果呢的  ，山石云铠直接提供安全透视镜多种功能 ，还能还能为安全管理人员直观的呈现容器集群的及网络互访彼此之间画像  ，帮住安全管理人员快速聚焦违规流量  ，及时予以 安全详细分析和响应  ，使其总的来看提高容器集群的安全性。

容器镜像的合规检查后、漏洞扫描和病毒查杀

依据《及网络安全等级保护容器安全意见》意见：

应确保容器镜像只予以 安全的基本框架容器镜像  ，仅涵盖必要的使用软件包或组件  ，对不安全镜像予以 告警 ，并帮住实现拦截；

除基本框架平台合作 组件外 ，应禁止业务容器实例予以 特权发现用户和特权全新模式运行 ，予以 特权发现用户运行容器行为形成予以 告警并拦截；

应确保容器镜像修复超危、高危、中危及低危及网络安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像加入中国 容器仓库。

山石云铠遵循安全基线合规具体标准 ，直接提供了对容器和镜像的合规性检查后多种功能 。它还能还能检查后容器和镜像的配置文件、安全参数、组件总的来看状态、权限设置一等多个多个方面  ，以确保其符合安全基线合规意见  ，可减少潜在的合规风险。

例如合规性检查后 ，山石云铠还都支持容器和镜像的漏洞扫描和病毒查杀多种功能 。予以 予以 漏洞扫描 ，山石云铠还能可被作为时识别和报告容器和镜像中已知的漏洞 ，以便发现用户及时修复。被作为  ，予以 病毒查杀多种功能  ，它还能还能检测和清除容器和镜像中所潜在病毒文件  ，有效性预防黑客攻击。

容器运行的安全验证和准入直接控制

依据《及网络安全等级保护容器安全意见》意见：

应在容器镜像创建或部署经历经历时候集成扫描多种功能  ，都支持对Dockerfile和容器镜像的及网络安全漏洞扫描  ，对不安全的镜像予以 告警并阻断创建或部署流程。

山石云铠直接提供了灵活的准入直接控制 多种功能  ，使安全管理人员还能还能依据容器/镜像的合规检查后结果呢的、Kubernetes应用标签、镜像漏洞扫描结果呢的等多个因素自定义容器的准入策略。予以 准入策略  ，山石云铠在容器运行时予以 予以 安全验证。还能还能容器不符合设定的安全意见 ，它还能还能自动予以 告警或阻断容器的运行。如此还能还能防止不符合安全意见的容器即将进入运行总的来看状态  ，总的来看提高容器集群的安全风险。

容器实例的入侵防护和响应处置

依据《及网络安全等级保护容器安全意见》意见：

应监测对管理平台合作 和容器实例的攻击行为形成并拦截  ，例如容器逃逸、发现用户提权；

应对失陷容器予以 响应处置  ，例如关闭或细粒度隔离容器。

山石云铠直接提供了能力强大强非常大入侵防御多种功能  ，内置的丰富入侵特征  ，还能还能检测到多种威胁  ，例如web后门通过、反弹shell攻击、本地提权等常见攻击手法。例如内置特征 ，山石云铠还都支持依据特定的前提条件自定义入侵检测特征和规则  ，例如基本框架命令行等特征前提条件。发现用户还能还能依据本身的产品需求和总的来看环境特点 ，灵活定义入侵检测规则  ，产品需求多样化的入侵防护产品需求。

而对发现它的威胁 ，山石云铠都支持自动告警 ，及时通知安全管理人员发现它的入侵事件。被作为 ，山石云铠还还能还能停用相应进程或容器 ，有效性阻断攻击的加大扩散和造成影响。而对风险容器  ，山石云铠还都支持基本框架微隔离技术实现予以 隔离  ，限制其予以 他容器和管理系统的造成影响  ，总的来看提高总的来看安全性。

容器总的来看状态的安全监控和风险阻断

依据《及网络安全等级保护容器安全意见》意见：

应审计容器实例事件  ，例如进程、文件、及网络等事件。

应监测容器实例运行经历经历经历时候恶意代码上传、下载注册、横向传播行为形成并拦截。

山石云铠直接提供了自定义Kubernetes应用继续学习时长的多种功能  ，允许发现用户依据实际产品需求设置一继续学习时长。在继续学习时间里  ，山石云铠会予以 自动继续学习详细分析应用到于进程、文件和及网络行为形成  ，并生成相应的行为形成模型。安全管理人员还能还能快速将例如行为形成模型转化为行为形成规则 ，例如规则还能还能用于检测和识别不合规的行为形成 ，例如异常文件操作全新模式 或可疑及网络通信等。发现它不合规行为形成后  ，山石云铠会自动予以 告警、阻断或停用等动作完成  ，以确保容器集群的安全性。

容器安全日志的备份

依据《及网络安全等级保护容器安全意见》意见：

应帮住实现审计其他数据留存或备份  ，审计其他数据保存时间不应符合法律法规意见。

山石云铠都支持与日志服务方面 器联动  ，将平台合作 的安全日志定期备份到日志服务方面 器 ，产品需求安全其他数据保存时间不的产品需求。

例如为容器集群直接提供安全防护当然  ，山石云铠还都支持为物理服务方面 器、虚拟机等云工作任务负载直接提供一站式的安全防护重要问题方案 ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的制造企业业务总的来看环境构建统一的安全防护体系！