容器服務ACK提供安全概覽功能,支持對節點、容器鏡像、容器運行時、工作負載配置進行風險識別及安全加固,可以幫助您提升云上資源和業務應用的安全治理效率。本文介紹如何使用容器服務ACK的安全概覽功能。
使用說明
- 安全概覽功能僅支持ACK托管版集群,目前處于邀測中。如需使用,請提交工單申請。
- 除了容器運行時風險,由于其他節點漏洞、容器鏡像風險、工作負載配置風險數據會有24小時延時,在初次授權開啟使用或風險修復完成后,需等待24小時,才可以在安全概覽頁面看到最新數據。
查看安全概覽
登錄容器服務管理控制臺,在左側導航欄選擇集群。
在集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇集群信息。
- 在集群信息頁面,單擊安全概覽頁簽。安全概覽會展示兩個維度的風險。下圖中紅框部分的數據表示從風險視角分析的結果,藍框部分的數據表示從資產視角分析的結果。例如,下圖節點漏洞中,從風險視角看,該集群共出現5個高危風險,從資產視角看,該集群共有2個節點池,該高危風險存在1個節點池中。
類別 說明 集群安全風險 展示集群整體安全狀態。 節點漏洞 展示節點漏洞風險,默認開啟。 容器鏡像風險 用于識別來自容器鏡像服務企業版ACR EE上容器鏡像的安全風險,需授權后使用。 容器運行時風險 用于實時查看容器運行時風險并進行運行時實時防護。容器運行時風險基于云安全中心來做相關診斷,需購買云安全中心的高級版及以上版本。更多信息,請參見購買云安全中心。 工作負載配置風險 幫您實時了解當前狀態下運行應用的配置是否有安全隱患,需開啟配置巡檢功能后使用。
集群安全風險
集群安全風險用于展示容器集群的安全風險等級,具體定義如下。
- 健康
當節點漏洞無高危風險時,集群中已開啟容器鏡像風險、容器運行時風險、工作負載配置風險掃描,且掃描結果無高危風險,則集群安全風險等級為健康。
- 高危
當節點漏洞出現高危或者容器運行時出現高危時,集群安全風險等級為高危。
- 中危
其他情況均為中危。
節點漏洞
節點漏洞檢查默認開啟。
在安全概覽頁面下方,單擊節點漏洞頁簽,查看節點漏洞列表,包含對應的節點池以及影響該節點池中的節點數,然后單擊修復即可跳轉至節點池詳情頁面進行漏洞修復。關于節點池CVE漏洞修復,請參見節點池CVE修復。
容器鏡像風險
在安全概覽頁面下方,單擊容器鏡像風險頁簽,查看容器鏡像風險列表項,包含對應容器鏡像的地址、受影響容器、掃描時間等詳情,然后單擊修復即可跳轉至ACR EE對應的鏡像風險詳情頁面,查看風險詳情并修復。
容器運行時風險
容器運行時風險基于云安全中心來做相關診斷,您需要提前購買云安全中心的高級版及以上版本。更多信息,請參見購買云安全中心。云安全中心購買完成后,可實時查看容器運行時風險并進行運行時實時防護。
在安全概覽頁面下方,單擊容器運行時風險頁簽,查看容器運行時風險列表項,包含對應的告警名稱、告警描述,然后單擊處理即可跳轉至安全監控頁面進行風險治理。
工作負載配置風險
您需要提前開啟配置巡檢功能。開啟配置巡檢后,會有24小時延時,才會顯示當前集群下的工作負載配置情況及風險情況。具體操作,請參見掃描集群Workload。
在安全概覽頁面下方,單擊工作負載配置風險頁簽,查看對應的風險描述以及對應的加固建議,然后單擊查看詳情即可跳轉至集群的配置巡檢頁面進行風險修復。