成都科汇科技有限公司
Kehui Technology Co., Ltd.
为解决容器集群技术普及过程中带来的新的安全问题,中关村信息安全测评联盟组织发起编制《网络安全等级保护容器安全要求》,并于2023年7月1日起实施。该文件对构成容器集群的各个抽象结构提出了安全要求,主要包括:
管理平台:包括集中管控、身份验证和授权机制、访问控制、审计和日志记录、安全配置等;
计算节点:包括节点的安全配置、漏洞修补、安全监控和日志记录、访问控制、策略迁移、恶意代码检查等;
集群网络:包括集群网络的隔离、安全通信、访问控制、异常流量分析等;
容器镜像:包括镜像的安全验证、安全配置、身份验证、漏洞修补、访问控制等;
镜像仓库:包括镜像仓库的安全存储、安全验证、访问控制等;
容器运行时:包括运行时的安全配置、行为审计、访问控制和准入控制等;
容器状态:包括容器状态监控、行为审计、容器隔离、异常检测等。
这些安全要求从1到4级逐级提高,对云服务商、云安全服务商、云使用方等角色提供了容器集群的安全指导,帮助组织和企业提高其容器环境的安全性,降低潜在风险。
山石网科作为国内主流的云安全服务商,推出了云铠主机安全防护平台(以下简称山石云铠)。该平台基于CWPP框架体系,从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大环节出发,设计了资产梳理、微隔离、漏洞扫描、病毒查杀、行为规则、准入策略、入侵防护等功能,为容器集群提供可靠的安全防护解决方案。
容器流量可视、精细化管控和智能分析
根据《网络安全等级保护容器安全要求》要求:
应实现多用户场景下容器实例之间、容器与宿主机之间、容器与其他主机之间的网络访问控制;
应监测容器集群内异常流量,对异常流量拦截。
容器镜像的合规检查、漏洞扫描和病毒查杀
根据《网络安全等级保护容器安全要求》要求:
应确保容器镜像只使用安全的基础容器镜像,仅包含必要的软件包或组件,对不安全镜像进行告警,并实现拦截;
除基础平台组件外,应禁止业务容器实例使用特权用户和特权模式运行,并对特权用户运行容器行为进行告警并拦截;
应确保容器镜像修复超危、高危、中危及低危网络安全漏洞;
应识别容器镜像内的病毒、木马等恶意代码,对危险容器镜像告警并阻止该镜像加入容器仓库。
除了合规性检查,山石云铠还支持容器和镜像的漏洞扫描和病毒查杀功能。通过进行漏洞扫描,山石云铠可以及时识别和报告容器和镜像中已知的漏洞,以便用户及时修复。同时,通过病毒查杀功能,它能够检测和清除容器和镜像中的潜在病毒文件,有效预防黑客攻击。
容器运行的安全验证和准入控制
根据《网络安全等级保护容器安全要求》要求:
应在容器镜像创建或部署过程中集成扫描功能,支持对Dockerfile和容器镜像的网络安全漏洞扫描,对不安全的镜像进行告警并阻断创建或部署流程。
容器实例的入侵防护和响应处置
根据《网络安全等级保护容器安全要求》要求:
应监测对管理平台和容器实例的攻击行为并拦截,例如容器逃逸、用户提权;
应对失陷容器进行响应处置,例如关闭或细粒度隔离容器。
对于发现的威胁,山石云铠支持自动告警,及时通知安全管理人员发现的入侵事件。此外,山石云铠还可以停用相关进程或容器,有效阻断攻击的进一步扩散和影响。对于风险容器,山石云铠还支持基于微隔离技术进行隔离,限制其对其他容器和系统的影响,提高整体安全性。
容器状态的安全监控和风险阻断
根据《网络安全等级保护容器安全要求》要求:
应审计容器实例事件,包括进程、文件、网络等事件。
应监测容器实例运行过程中的恶意代码上传、下载、横向传播行为并拦截。
容器安全日志的备份
根据《网络安全等级保护容器安全要求》要求:
应实现审计数据留存或备份,审计数据保存时间应符合法律法规要求。
除了为容器集群提供安全防护以外,山石云铠还支持为物理服务器、虚拟机等云工作负载提供一站式的安全防护解决方案,覆盖私有云、公有云、混合云等多云场景,为复杂的企业业务环境构建统一的安全防护体系!