本文匯總了容器防護的常見問題。
目前我使用的是云安全中心的企業(yè)版,是否能使用容器防火墻功能?
不可以。僅云安全中心的旗艦版支持該功能,其他版本不支持。購買和升級云安全中心服務的具體操作,請參見購買云安全中心和升級與降配。
使用容器防火墻功能是否需要額外付費?
不需要。開通了云安全中心旗艦版后,即可直接使用容器防火墻功能。
如果升級到了云安全中心旗艦版,是否就只能保護容器,而無法保護ECS了?
不會。云安全中心旗艦版會同時防護容器和ECS。
云安全中心提供了哪些容器鏡像檢測機制,保證容器運行的安全性?
阿里云云安全中心借助云原生優(yōu)勢,針對容器鏡像提供以下檢測機制,以降低容器入侵和篡改等風險。
鏡像安全
接入云安全中心鏡像(鏡像安全掃描)
對已接入云安全中心的容器鏡像服務ACR的企業(yè)版、第三方鏡像倉庫Harbor和Quay的鏡像提供了全面的安全檢測和管理能力,幫助您發(fā)現鏡像中存在的高危系統(tǒng)漏洞、應用漏洞、惡意樣本、基線配置風險、敏感文件和鏡像構建指令風險;針對鏡像的系統(tǒng)漏洞提供了漏洞修復方案,以便您及時解決安全隱患。
詳細內容,請參見鏡像安全掃描。
未接入云安全中心鏡像(CI/CD插件集成)
只需要將CI/CD插件(即云安全中心鏡像安全掃描插件)與Jenkins工具或GitHub集成,可以在Jenkins或GitHub的項目構建階段,同時觸發(fā)鏡像安全掃描任務,發(fā)現鏡像中存在的高危系統(tǒng)漏洞、應用漏洞、惡意病毒、Webshell、惡意執(zhí)行腳本、基線配置風險以及對敏感數據進行檢測和識別,并提供漏洞修復建議,幫助您更便捷地檢測出鏡像中存在的安全風險。
詳細內容,請參見CI/CD接入配置。
鏡像啟動攔截(風險鏡像阻斷)
創(chuàng)建風險鏡像阻斷規(guī)則后,在指定集群內使用鏡像創(chuàng)建資源時,云安全中心會對鏡像進行安全校驗,對命中風險鏡像阻斷規(guī)則(互聯網惡意鏡像、未掃描鏡像、惡意樣本、基線、漏洞、敏感文件、構建指令風險)的鏡像執(zhí)行攔截、告警或放行動作,確保集群內啟動的鏡像符合您的安全要求。
您可以在容器資產頁面的鏡像頁簽,選擇鏡像類型為CI/CD,根據鏡像ID或標簽搜索查看目標鏡像的風險,然后根據風險詳情和修復建議處理相關漏洞和風險。
詳細內容,請參見風險鏡像阻斷。
容器安全
容器運行時鏡像掃描
檢測容器運行時是否存在安全風險項,包括系統(tǒng)漏洞、應用漏洞、基線檢查、惡意樣本、敏感文件等。針對容器鏡像系統(tǒng)漏洞提供了漏洞修復方案,以便您及時解決安全隱患。
詳細內容,請參見容器運行時鏡像掃描。
配置容器主動防御規(guī)則
從容器自身安全、運行時安全、運行環(huán)境安全多維度主動檢測容器啟動或運行時存在的安全風險。通過配置相應規(guī)則,您可以停止不可信進程和阻斷容器逃逸行為,提升整體容器運行環(huán)境的安全水位。
非鏡像程序防御:
在容器運行期間來源于鏡像外的程序啟動屬于異常行為,該行為很可能是黑客植入木馬等惡意軟件。
創(chuàng)建非鏡像程序防御規(guī)則后,云安全中心可檢測并攔截鏡像外的程序啟動,主動防御惡意軟件的入侵,幫助您防御已知或未知的攻擊模式。
容器防逃逸:
容器與宿主服務器共享操作系統(tǒng)內核時,攻擊者可利用容器漏洞提升權限實現對宿主服務器系統(tǒng)或其他容器的訪問控制,影響整個系統(tǒng)安全性。通過配置容器防逃逸規(guī)則可以有效阻斷逃逸行為,保障容器運行時安全。
詳細內容,請參見容器主動防御。
配置容器文件防御規(guī)則
實時監(jiān)控容器內目錄或文件,并在容器內目錄或文件,被惡意篡改時產生告警或攔截篡改行為,保障容器環(huán)境正常運行。
詳細內容,請參見容器文件防御。
攔截容器異常訪問
通過將容器中應用的命名空間、應用名稱、鏡像以及標簽等信息整合為網絡對象,在兩個網絡對象之間創(chuàng)建訪問流量的防御規(guī)則,實現源網絡對象訪問目的網絡對象的流量管控。當黑客利用漏洞或惡意鏡像入侵容器集群時,容器防火墻會對容器的異常行為進行告警或攔截。
詳細內容,請參見容器防火墻。
部署可信容器
實現對容器鏡像的可信簽名,確保只部署可信授權方簽名的容器鏡像,防止未經簽名授權的鏡像啟動,從根本上幫助您提升資產的安全性。
詳細內容,請參見容器簽名。
檢測容器基線配置
針對容器的配置提供安全檢測和告警,基于阿里云容器最佳安全實踐對Kubernetes Master和Node節(jié)點,針對容器基線配置提供風險檢查。
詳細內容,請參見基線檢查。
容器所在的主機安全
主機安全防護的詳細內容,請參見云安全中心的主機防護特性。
如何通過容器防火墻管控容器環(huán)境內的業(yè)務流量?
云安全中心旗艦版服務提供容器防火墻功能。容器防火墻通過將集群中應用的命名空間、應用名稱、容器鏡像以及標簽信息整合為網絡對象,作為區(qū)別容器應用的標識,然后基于網絡對象為容器應用創(chuàng)建網絡訪問的防御規(guī)則,檢測并攔截、告警異常的訪問流量,實現容器環(huán)境內的網絡隔離。
集群防御規(guī)則的正常運行依賴于AliNet插件(AliNet插件主要用于網絡連接攔截、DNS攔截、暴力破解攔截等),使用容器防火墻功能之前請確保您的集群節(jié)點的系統(tǒng)內核版本在AliNet插件支持的部分系統(tǒng)內核版本范圍內。否則,集群防御規(guī)則會無法生效。容器防火墻功能支持的系統(tǒng)內核版本,請參見支持的操作系統(tǒng)版本。
使用云安全中心的容器防火墻服務,需要開啟惡意網絡行為防御功能。詳細說明,請參見主動防御。
執(zhí)行以下操作,為已接入云安全中心的容器集群,配置并啟用防御規(guī)則。
集群防御的可攔截狀態(tài)為正常時,該集群的防御狀態(tài)才能開啟,啟用的防御規(guī)則才能生效。如果集群防御規(guī)則的可攔截狀態(tài)異常,需要先處理該異常狀態(tài),請參見集群防御規(guī)則可攔截狀態(tài)異常排查。
對于已接入云安全中心的容器集群,出現訪問流量時,開始按照容器防火墻中防御規(guī)則的優(yōu)先級進行檢測,攔截或告警異常訪問流量。如果命中防御規(guī)則的動作為通過,或未命中任何防御規(guī)則,容器防火墻會直接放行當前訪問。
告警或攔截的防御動作會產生告警事件,具體內容,請參見查看防護狀態(tài)。