通過容器安全衛士服務，可以輕松應對各種云原生應用威脅和風險。

儀表盤

儀表盤通過圖標可視化方式展示了鏡像、容器、節點、鏡像倉庫、集群這些重要資產的數量統計信息、部署安全信息、以及安全威脅分布情況。可以更直觀地顯示各資產信息統計、漏洞信息統計、報警信息。使客戶能夠更快速的識別和了解威脅情況。

• 趨勢和歷史記錄
  提供可視化的界面和報告，以展示威脅情報的相關統計數據、趨勢等信息，幫助決策者理解威脅情報的現狀和趨勢。

• 告警和事件管理
  集成告警和事件管理系統，將安全事件和告警信息匯總展示在大屏幕上，并提供快速的事件處理和跟蹤功能。

• 資產管理
  展示每個資產的詳細信息，包括集群資產、節點資產、命名空間、工作負載等資產，以幫助用戶全面了解資產的特征和配置。

• 漏洞數據集成和可視化
  將漏洞掃描結果數據進行集成，以可視化的方式展示漏洞分布、統計信息，幫助用戶全面了解漏洞態勢。

網絡可視化

對容器環境中網絡流量進行繪圖，打破網絡黑洞，支持對進程、容器、pod、服務、主機級別的網絡監測。通過對單個業務之間，業務組之間，以及租戶之間的網絡訪問策略配置，實現業務之間隔離，來減小被入侵之后的影響范圍；通過網絡拓撲圖，從網絡層面判斷入侵影響范圍。

容器安全衛士自動檢測發現Kubernetes集群內的運行容器，應用以及鏡像，關聯相應的安全風險進行匯總，展示安全風險的數量以及風險級別的分布。支持自動發現容器內進程之間、容器之間、POD之間、服務之間、節點之間的網絡連接狀態，展示連接的原地址，目的地址以及端口。并對異常連接進行預警。支持對Kubernetes集群內POD之間的通信進行網絡隔離控制、隔離策略支持配置POD的間的訪問規則、阻斷來自其他命名空間的所有流量、允許來自外部客戶端的流量等。

• 支持租戶隔離

  支持對Kubernetes集群內租戶進行隔離控制，租戶之間默認禁止直接通信，可以通過配置RBAC、POD策略、網絡策略等實現租戶間的訪問策略。

• 支持自定義網絡策略

  支持對Kubernetes集群內的隔離策略管理，展示各個POD已經配置的隔離策略并能進行配置和應用。

• 可視化的展示視角

  通過雷達可視圖的展示方式，用戶可以查看到容器內進程之間、容器之間、POD之間、服務之間、節點之間的網絡進出站信息，對指定的網橋、網卡進行流量的DPI分析，有助于識別、阻斷流向異常的流量。

• 多種類型策略支持

  基于用戶不同的使用環境與業務需求，支持多種策略類型，包括：

  • IPtables模式（可針對不同的資源之間設置網絡訪問策略）。

  • OVS模式（在OpenShift環境下， 針對不同的資源之間設置網絡訪問策略）。

  • NetworkPolicy模式（為指定資源設置允許進出站訪問）。

資產中心

對鏡像、倉庫、容器、主機、微服務、kubernetes配置信息等容器相關信息進行自動采集，統一可視化管理，對容器風險一目了然，時刻掌握容器資產變化，使安全不落后于業務。消除安全與運維之間的信息壁壘，使業務環境內各項資產對安全用戶清晰可見。
細粒度、結構化的資產清點助力安全用戶及時發現容器、集群環境中可能存在的的風險隱患，提前進行預防、修復，并在入侵事件發生時幫助安全用戶及時定位受損資產信息，快速進行響應處理以免惡意事件擴散使更多資產受到感染。
資產管理類型包括容器、鏡像、倉庫、主機、POD等，為用戶提供容器內資產的分類視圖，支持對每一類資產進行數據分級聚合展示，實現容器資產的全面可視化，幫助用戶更直觀地了解當前系統內的資產情況。

• 資產管理
  系統資產數據持續更新，每日及時、自動上報資產數據。基于歷史清點的數據，每次只清點新啟動的進程信息，極大降低對服務性能的消耗。

• 資產可視化
  系統支持清點的資產種類包括容器、鏡像、Registry、POD等，為用戶提供容器內資產的分類視圖，支持對每一類資產進行數據分級聚合展示，實現容器資產的全面可視化。

• 資產更新
  用戶可根據使用場景設置資產的更新周期，包括資產的范圍。

告警響應

系統實時監控容器的運行情況，能夠對可能出現的所有異常行為進行捕獲和發出告警，并針對不同的入侵行為給出響應的安全處理建議，可在響應中心中查看所有入侵事件具體信息。并支持在響應中心對不同狀態的容器進行相應的操作改變其狀態，包括：解除隔離、啟動容器、隔離容器、殺容器、暫停容器、一鍵封堵。

• 支持多種風險行為監測
  支持檢測諸如啟動特權容器、容器逃逸行為、讀取敏感文件、啟動惡意進程、掛載非法設備、映射敏感目錄、反彈SHELL連接操作、修改命名空間等多種風險行為的檢測。

• Pod隔離
  支持對Kubernetes集群內Pod之間的通信進行網絡隔離控制。

• ATT&CK模型視角展示
  基于攻擊者視角顯示攻擊各階段信息，反映了攻擊者攻擊生命周期以及各個攻擊階段的目標。

• 一鍵封堵
  當生產環境內出現異常IP可通過一鍵封堵功對IP進行封堵，防止造成更大的損害。

安全合規

在業務系統上線運行之前，應對業務系統所在容器、集群以及容器原鏡像進行合規檢測，以防止不安全的配置導致容器逃逸或者集群入侵事件。

提供了對容器及集群進行合規審計，支持主流的CIS安全檢測標準。基于產品提供可視化的基線檢測結果和修復建議，用戶可以自行修復不合規的檢測項。根據用戶的生產場景支持自定義合規檢測項。

• 支持多種系統合規CIS檢測
  支持Docker CIS、Kubernetes CIS合規、Centos CIS、Ubuntu CIS、OpenShift合規等多種系統合規項檢測，并支持快速擴展，滿足不同場景的需求。

• 支持多種自定義檢測項
  用戶可根據各行業安全標準，自定義配置安全合規檢測項。靈活適應組織或行業的安全合規需求，提供高度個性化的定制選擇。

• 支持一鍵導出合規檢測結果
  系統基線檢測掃描后，用戶快速一鍵生成基線的合規檢測報告。

• 深入可視化的結果展示
  合規基線檢測結果可視化列表呈現，用戶可以清晰看到每一個檢查項的說明、通過情況以及檢測詳情信息。幫助用戶快速了解基線檢測未通過的原因，及時對容器相關配置進行修改更新。

• 多視角合規審計
  合規基線支持多視角查看包括資產視角、合規視角，用戶可在鏡像、容器、節點、資產內查看當前資產的基線檢測項，也可以在合規視角內查當前合規項內存在哪些不合規的資產。

• 持續安全檢查
  系統提供持續安全檢查功能，通過自動掃描、監控機制。系統實時檢測云原生環境的合規性，確保符合CIS基準和最佳實踐。

IaC安全

在kubernetes系統中，各類資源均需要通過編排文件構建，編排文件編寫是否規范，將直接影響到構建資源的安全性、規范性與可用性。對于部署資源所編寫的編排文件，系統支持自動接入，自動掃描，根據掃描結果指出編排文件中存在風險或不規范的配置項，并給出修復建議，保障資源合規且安全地創建。

• 編排文件審計
  支持對編排文件內的掃描結果進行分類展示，并對不合規的檢查支持所在行數顯示。

• 自定義規則
  內置K8S manifests文件與Dockerfile文件的自定義設計規則，并支持用戶根據使用場景進行開啟或關閉檢測項。

鏡像安全

鏡像作為容器運行的基礎，如果存在安全隱患、風險問題，將直接影響到容器環境的安全性。面對鏡像中可能存在的安全問題，需要對業務環境主機中和鏡像倉庫中的鏡像資產，進行自動掃描或手動掃描來識別風險，對危險鏡像基于策略進行阻斷，對高危鏡像提供可寫入dockerfile的修復建議。支持對容器鏡像制作過程、鏡像運行、鏡像發布進行全方位的監控和檢測。提供了自動獲取節點和倉庫中的鏡像并從CVE漏洞、CNNVD漏洞、木馬病毒、可疑歷史操作、敏感信息泄露、以及是否是可信任鏡像等多個維度對鏡像進行掃描。

• 鏡像運行風險識別與處理
  能夠設置鏡像運行的安全策略，不符合安全策略的鏡像將禁止運行，安全策略包括不允許以root用戶啟動、禁止鏡像中存在木馬病毒、阻止存在特定軟件漏洞的鏡像等。

• 支持多種鏡像倉庫的適配
  面對不同的客戶使用場景，平臺支持同步Harbor、JForg、Huawei、Registry等多種鏡像倉庫適配。

• 快速的鏡像掃描
  鏡像掃描速度快，結果準確，10G鏡像僅需10秒。

• 深入的鏡像文件與軟件包檢測
  在快速掃描的基礎上增加掃描第三方依賴庫、Web框架庫和病毒木馬等惡意文件檢測，更加深入地保證鏡像資產的安全。

• 支持一鍵生成鏡像報告
  鏡像掃描完成后，用戶可以一鍵生成鏡像的合規檢測報告，便于用戶查看風險信息總覽、風險鏡像列表、漏洞列表、風險修復建議等信息。

• 安全溯源
  實時檢測鏡像歷史中引入的安全風險信息，包括鏡像層的構建命令、操作時間、引入的安全問題等信息。

容器安全

容器運行時的安全狀況是容器安全管控的重中之重。目前傳統的入侵檢測方式主要針對于主機或者網絡層面，現有手段無法快速發現針對容器層面的入侵行為。而傳統云平臺提供的管理平臺雖可查看容器狀態并進行容器隔離，但無法針對隨時可能出現的異常行為進行持續監控與實時報警。若無法設置預警與實時報警，入侵者極有可能通過漏洞遠程操作容器執行命令實現入侵，從而導致重要數據泄露。

支持對容器內行為進行檢測。當發現容器逃逸行為、讀取敏感信息、啟動惡意進程、掛載非法設備、映射敏感目錄、修改命名空間等惡意行為時，根據預設策略觸發報警或阻斷容器運行，并對發現異常的Pod進行隔離。

• 支持自定義策略設置
  根據用戶的生產場景支持對集群、命名空間、節點等維度設置檢測規則。

• 容器文件防篡改
  通過對容器內重要路徑（多路徑之間若存在包含關系，將自動去重后保存，默認防護路徑及其下所有子路徑）下的重要文件進行備份，并識別所有異常篡改文件的行為，及時發送報警并恢復文件。

• 弱口令檢測
  支持對包括但不限于mysql8、ssh、redis、tomcat、容器env等應用弱口令檢測。

• 進程訪問控制
  通過進程訪問控制策略對一個或多個容器進行進程監控，并通過配置進程名稱、URL等信息來識別異常進程，及時告警或阻斷。

• 數據取證
  對容器運行進程進行監控并記錄，在追溯風險行為來源時能夠快速查找攻擊源頭，及時排錯。

• 容器運行時監控
  支持實時檢測運行中的容器CPU占用、內存占用情況。

節點安全

集群部署后，運維人員需時刻關注集群內的master節點與node節點的在線情況，以及是否存在安全風險。針對存在安全風險的節點，需支持將風險信息生成報表，交由安全部門處理，保證節點上的資產安全運行。

• 節點入侵檢測
  支持對節點入侵事件的實時監測，包括主機反彈Shell、高危系統調用等。

• 節點掃描
  支持設置掃描周期，按時掃描節點上的軟件包是否存在漏洞，并給出修復建議。

• 支持自定義開啟/關閉節點防護
  支持自定義開啟或關閉對節點的防護，關閉防護后當前節點上的所有資產將不再受保護。

集群安全

針對不同的項目情況、支持對Kubernetes、OpenShift 、Rancher等集群的不同版本進行安全風險掃描。如：Kubernetes版本信息披露、匿名身份驗證、可能遭受Ping Flood攻擊等。對于部署資源所編寫的編排文件，支持一鍵同步并掃描編寫內容是否存在風險以及是否符合編寫規范。并支持對集群內的組件進行檢查和對集群的審計通過多方位的檢測方式保證集群的安全。

• 組件漏洞

  支持對集群內的組件進行檢查，并給出該組件內的漏洞信息包括漏洞介紹、參考地址、受影響版本等信息。

• Kubernetes安全檢查

  支持對Kubernetes環境進行安全性掃描，檢查是否存在諸如信息泄露、特權升級、遠程代碼執行、危險訪問等安全風險，列出各種風險所影響的資產范圍，并輸出解決方法。

• 插件管理

  支持針對0day或特殊漏洞生成專業的安全插件，運行后能快速發現受影響資產，確定影響面。

• 集群審計

  記錄了對APIServer的訪問事件，通過查看、分析日志，可以了解集群的運行狀況、排查異常，發現集群潛在的安全、性能等風險。

• 集群策略

  可配置集群審計類型包括get類型審計、watch類型審計、list類型審計、update類型審計、creare類型審計、patch類型審計、delete類型審計。

  默認內置針對日常運營模式、重保模式、高級防護模式的告警策略；同時也支持自定義告警策略。

  支持告警規則自定義。

• 集群設置

  支持對新增集群自動掃描、周期掃描的設置。