安全監控提供監控和告警能力,包括惡意鏡像啟動、病毒和惡意程序的查殺、容器內部入侵行為、容器逃逸和高風險操作預警等主要的容器側攻擊行為。本文介紹如何使用安全監控功能。
前提條件
已創建Kubernetes集群,具體操作,請參見創建Kubernetes托管版集群。
已開啟云安全中心服務,具體操作,請參見購買云安全中心。
如果您使用的是子賬號(即RAM用戶),請確保子賬號有云安全中心的RAM只讀訪問權限AliyunYundunSASReadOnlyAccess。
背景信息
當容器應用通過API Server的認證鑒權和準入控制校驗成功部署后,在云原生應用零信任的安全原則下,還需要在容器應用的運行時刻提供相應的安全監控和告警能力。為此,容器服務和云安全中心深度集成告警處理和漏洞檢測能力,集群管理員可以在應用運行時提供監控和告警能力,包括惡意鏡像啟動,病毒和惡意程序的查殺,容器內部入侵行為,容器逃逸和高風險操作預警等主要的容器側攻擊行為。您可以在集群詳情頁實時接收到相應告警,并根據頁面提示查看和處理告警詳情。
操作步驟
登錄容器服務管理控制臺,在左側導航欄選擇集群。
在集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇。
在安全監控頁面查看集群的安全概況。
安全告警數
顯示檢測到的安全風險告警事件,包括在容器中或在主機層面發生的病毒和惡意程序攻擊、容器內部的入侵行為、容器逃逸和高風險操作預警等主要的容器側攻擊行為。關于安全告警的詳細說明,請參見安全告警概述。您可以單擊安全告警數區域進入安全告警數頁面進行如下操作。
在頁面下方,單擊目標安全告警操作列的處理,您可以在彈出的對話框中將該安全告警加入白名單或者忽略該安全告警。
在頁面下方,單擊目標安全告警操作列的詳情,在告警事件的詳情頁面顯示安全告警事件詳細信息,包括事件的發生時間、受影響資產信息、進程ID等相關信息。然后在詳情頁面,單擊溯源頁簽,在溯源頁面可以對攻擊事件進行自動化溯源并提供原始數據預覽。
漏洞風險數
查看和處理資產中存在的漏洞,包括Linux漏洞、應用漏洞等。關于漏洞風險的詳細說明,請參見漏洞管理。您可以單擊漏洞風險數區域進入漏洞風險數頁面進行如下操作。
在頁面下方,單擊目標漏洞的名稱或操作列的處理,您可以查看漏洞詳情和待處理漏洞。漏洞詳情列表提供漏洞的處理建議,待處理漏洞列表提供漏洞的修復、驗證以及詳情查看功能。
在頁面下方,單擊目標漏洞右側的漏洞編號,將跳轉至阿里云漏洞庫,提供更詳細的漏洞信息。
基線風險數
針對服務器操作系統、數據庫、軟件和容器的配置進行安全檢測,可以幫您加固系統安全,降低入侵風險并滿足安全合規要求。關于基線風險的詳細說明,請參見基線檢查。您可以單擊基線風險數區域進入基線風險數頁面,單擊目標基線風險項右側操作列的詳情,查看基線風險描述以及受影響資產列表。
容器防火墻告警數
為容器環境提供的防火墻服務。當黑客利用漏洞或惡意鏡像入侵容器集群時,容器防火墻會對容器的異常行為進行告警或攔截。關于容器防火墻的詳細說明,請參見容器防火墻。您可以單擊容器防火墻告警數區域進入容器防火墻告警數頁面。
在頁面的告警列表中,包括告警等級、名稱、源、目的網絡對象,涉及的端口、集群以及防御模式。
在頁面的告警列表中,您可以單擊操作列的編輯規則對告警規則進行編輯。