山石网科容器等级保护解决方案，为用户筑牢安全防护墙

为还有解决问题容器集群技术一普及除此以外所中带来冲击新的方式的方式安全还有解决问题 ，中关村数据信息安全测评未来联盟参与组织发起编制《图片来源来源安全等级保护容器安全提出要求提出要求》  ，并于2023年7月1日起借助。该文件对构成容器集群的各个抽象结构提出要求提出要求了安全提出要求提出要求  ，主要包含包含：

·管理平台发展：包含集中管控、政治身份验证和授权机制、访问以及控制、审计和日志记录、安全配置等；

·计算节点：包含节点的安全配置、漏洞修补、安全监控和日志记录、访问以及控制、策略迁移、恶意代码检查后等；

·集群图片来源来源：包含集群图片来源来源的隔离、安全通信、访问以及控制、异常流量分析及等；

·容器镜像：包含镜像的安全验证、安全配置、政治身份验证、漏洞修补、访问以及控制等；

·镜像仓库：包含镜像仓库的安全存储、安全验证、访问以及控制等；

·容器运行时：包含运行时的安全配置、行为实施审计、访问以及控制和准入以及控制等；

·容器那种状态：包含容器那种状态监控、行为实施审计、容器隔离、异常检测等。

某些安全提出要求提出要求从1到4级逐级使其提高 ，对云专业服务商、云安全专业服务商、云借助方等人物角色人员提供了容器集群的安全指导  ，能够参与组织和其他企业使其提高其容器生活环境的安全性  ，使其提高潜在风险。

山石网科同样海外 主流的云安全专业服务商  ，正式推还出云铠主机安全防护平台发展（下述简称山石云铠）。该平台发展两个基础CWPP框架体系  ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大除此以外出发  ，总的来看设计了资产梳理、微隔离、漏洞扫描、病毒查杀、行为实施规则、准入策略、入侵防护等多种功能 ，为容器集群人员提供可靠的安全防护还有解决问题方案。

容器流量可视、精细化管控和智能分析及

很据《图片来源来源安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应努力实现多所有用户场景下容器实例相互之间之间、容器与宿主机相互之间之间、容器与还有主机相互之间之相互之间之间图片来源来源访问以及控制；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠都支持两个基础容器配置细粒度微隔离策略  ，努力实现容器实例相互之间之间、容器与宿主机相互之间之间、容器与还有图片来源来源相互之间之相互之间之间精细化图片来源来源流量访问以及控制  ，确保容器的通信仅限于授权和第十七条的流量。

还有如此如此  ，山石云铠借助机器自学习内容 技术一构建容器的图片来源来源安全基线 ，自动学习内容 和分析及容器的流量。当能发现容器的异常流量后 ，山石云铠使其可还有如此时识别并借助阻断措施。但是  ，山石云铠人员提供安全透视镜多种功能  ，使其使其为安全管理人员直观的呈现容器集群的图片来源来源互访相互之间画像  ，能够安全管理人员快速聚焦违规流量  ，及时借助安全分析及和响应  ，使其使其提高容器集群的安全性。

容器镜像的合规检查后、漏洞扫描和病毒查杀

很据《图片来源来源安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应确保容器镜像只借助安全的两个基础容器镜像 ，仅包含必要的应用软件包或组件 ，对不安全镜像借助告警  ，并努力实现拦截；

除两个基础平台发展组件外  ，应禁止业务容器实例借助特权所有用户和特权三大模式运行 ，借助特权所有用户运行容器行为实施借助告警并拦截；

应确保容器镜像修复超危、高危、中危及低危图片来源来源安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像再加入容器仓库。

山石云铠遵循安全基线合规其他标准  ，人员提供了对容器和镜像的合规性检查后多种功能 。它使其使其检查后容器和镜像的配置文件、安全参数、组件那种状态、权限单独设置等多个技术本身  ，以确保其符合安全基线合规提出要求提出要求  ，大幅减少潜在的合规风险。

包含合规性检查后 ，山石云铠还都支持容器和镜像的漏洞扫描和病毒查杀多种功能 。借助借助漏洞扫描  ，山石云铠使其可还有如此时识别和报告容器和镜像中已知的漏洞  ，以便所有用户及时修复。还有如此如此 ，借助病毒查杀多种功能  ，它使其使其检测和清除容器和镜像中都潜在病毒文件  ，最有效预防黑客攻击。

容器运行的安全验证和准入以及控制

很据《图片来源来源安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应在容器镜像创建或部署除此以外所中集成扫描多种功能  ，都支持对Dockerfile和容器镜像的图片来源来源安全漏洞扫描  ，对不安全的镜像借助告警并阻断创建或部署流程。

山石云铠人员提供了灵活的准入以及控制多种功能 ，使安全管理人员使其使其很据容器/镜像的合规检查后但是、Kubernetes应用标签、镜像漏洞扫描但是等多个因素自定义容器的准入策略。借助准入策略  ，山石云铠在容器运行时借助借助安全验证。使其使其容器不符合设定的安全提出要求提出要求  ，它使其使其自动借助告警或阻断容器的运行。这样的使其使其防止不符合安全提出要求提出要求的容器步入运行那种状态  ，使其提高容器集群的安全风险。

容器实例的入侵防护和响应处置

很据《图片来源来源安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应监测对管理平台发展和容器实例的攻击行为实施并拦截  ，包含容器逃逸、所有用户提权；

应对失陷容器借助响应处置  ，包含关闭或细粒度隔离容器。

山石云铠人员提供了如此强比较大入侵防御多种功能  ，内置的丰富入侵特征  ，使其使其检测到多种威胁  ，包含web后门借助、反弹shell攻击、本地提权等常见攻击手法。包含内置特征  ，山石云铠还都支持很据特定的前提条件自定义入侵检测特征和规则  ，包含两个基础命令行等特征前提条件。所有用户使其使其很据本身的完全潜在需求和生活环境特点  ，灵活定义入侵检测规则  ，完全潜在需求多样化的入侵防护完全潜在需求。

相同样 能发现的威胁  ，山石云铠都支持自动告警 ，及时通知安全管理人员能发现的入侵事件。还有如此如此  ，山石云铠还使其使其停用相关事件进程或容器 ，最有效阻断攻击的逐步扩散和直接影响 。相同样 风险容器 ，山石云铠还都支持两个基础微隔离技术一借助隔离  ，限制其借助他容器和系统实现的直接影响  ，使其提高总的来看安全性。

容器那种状态的安全监控和风险阻断

很据《图片来源来源安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应审计容器实例事件  ，包含进程、文件、图片来源来源等事件。

应监测容器实例运行除此以外所中都恶意代码上传、手机下载、横向传播行为实施并拦截。

山石云铠人员提供了自定义Kubernetes应用学习内容 时长的多种功能  ，允许所有用户很据实际完全潜在需求单独设置学习内容 时长。在学习内容 时间里 ，山石云铠会借助自动学习内容 分析及应使用时进程、文件和图片来源来源行为实施  ，并生成相关事件的行为实施模型。安全管理人员使其使其快速将某些行为实施模型转化为行为实施规则 ，某些规则使其使其用于检测和识别不合规的行为实施  ，包含异常文件还有如此操作或可疑图片来源来源通信等。能发现不合规行为实施后 ，山石云铠会自动借助告警、阻断或停用等动作完成  ，以确保容器集群的安全性。

容器安全日志的备份

很据《图片来源来源安全等级保护容器安全提出要求提出要求》提出要求提出要求：

应努力实现审计综合数据留存或备份 ，审计综合数据保存把时间应符合法律法规提出要求提出要求。

山石云铠都支持与日志专业服务器联动  ，将平台发展的安全日志定期备份到日志专业服务器  ，完全潜在需求安全综合数据保存把时相互之间之间完全潜在需求。

包含为容器集群人员提供安全防护还有  ，山石云铠还都支持为物理专业服务器、虚拟机等云工作任务负载人员提供一站式的安全防护还有解决问题方案  ，覆盖私有云、公有云、混合云等多云场景 ，为复杂的其他企业业务生活环境构建统一的安全防护体系！