为以及 解决好容通信技术专业通信技术专业器集群核心技术普及动态动态时候带来影响的有新安全以及 解决好,中关村各种信息安全测评全联盟其他组织 发起编制《网路安全等级保护容器安全没有要求》,并于2023年7月1日起多种多种方式。该文件通信技术专业对构成容器集群的各个抽象结构没有要求了安全没有要求,大多以及 :
·管理大平台:以及 集中管控、个人身份验证和授权机制、访问完全控制、审计和日志记录、安全配置等;
·计算节点:以及 节点的安全配置、漏洞修补、安全监控和日志记录、访问完全控制、策略迁移、恶意代码详细检查等;
·集群网路:以及 集群网路的隔离、安全通信、访问完全控制、异常流量预测等;
·容器镜像:以及 镜像的安全验证、安全配置、个人身份验证、漏洞修补、访问完全控制等;
·镜像仓库:以及 镜像仓库的安全存储、安全验证、访问完全控制等;
·容器运行时:以及 运行时的安全配置、行为方面审计、访问完全控制和准入完全控制等;
·容器状态如何:以及 容器状态如何监控、行为方面审计、容器隔离、异常检测等。
这个安全没有要求从1到4级逐级全面提高 ,对云产品服务商、云安全产品服务商、云多种多种方式方等角色设定提供完整了容器集群的安全指导,走出困境其他组织 和民营企业全面提高 其容器环境中的安全性,全面提高 潜在风险。
山石网科身为到国内主流的云安全产品服务商,即将推出好云铠主机安全防护大平台(以内 简称山石云铠)。该大平台技术基础CWPP框架体系,从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大时候出发,设计造型 了资产梳理、微隔离、漏洞扫描、病毒查杀、行为方面通信技术专业规则、准入策略、入侵防护等其功能,为容器集群提供完整可靠的安全防护以及 解决好方案。
容器流量可视、精细化管控和智能预测
参照 《网路安全等级保护容器安全没有要求》没有要求:
应得以实现多导致用户场景下容器实例二者之间、容器与宿主机二者之间、容器与以及 主机二者之二者之间网路访问完全控制;
应监测容器集群内异常流量,对异常流量拦截。
山石云铠持续支持技术基础容器配置细粒度微隔离策略,得以实现容器实例二者之间、容器与宿主机二者之间、容器与以及 网路二者之二者之间精细化网路流量访问完全控制,确保容器的通信仅限于授权和特别规定的流量。
以及 ,山石云铠多种多种方式机器自学习全面提高 核心技术构建容器的网路安全基线,自动学习全面提高 和预测容器的流量。当会发现容器的异常流量后,山石云铠从而提高可以及 时识别并多种多种方式阻断措施。到于是,山石云铠提供完整安全透视镜其功能,从而提高从而提高为安全管理人员直观的呈现容器集群的网路互访二者之间画像,走出困境安全管理人员快速聚焦违规流量,及时多种多种方式安全预测和响应,从而提高全面提高 容器集群的安全性。
容器镜像的合规详细检查、漏洞扫描和病毒查杀
参照 《网路安全等级保护容器安全没有要求》没有要求:
应确保容器镜像只多种多种方式安全的技术基础容器镜像,仅包含必要的各类软件包或组件,对不安全镜像多种多种方式告警,并得以实现拦截;
除技术基础大平台组件外,应禁止业务容器实例多种多种方式特权导致用户和特权模式一运行,多种多种方式特权导致用户运行容器行为方面多种多种方式告警并拦截;
应确保容器镜像修复超危、高危、中危及低危网路安全漏洞;
应识别容器镜像内的病毒、木马等恶意代码,对危险容器镜像告警并阻止该镜像加如容器仓库。
山石云铠遵循安全基线合规新标准 ,提供完整了对容器和镜像的合规性详细检查其功能。它从而提高从而提高详细检查容器和镜像的配置文件、安全参数、组件状态如何、权限增设等多个核心核心技术,以确保其符合安全基线合规没有要求,可减少潜在的合规风险。
以及 合规性详细检查,山石云铠还持续支持容器和镜像的漏洞扫描和病毒查杀其功能。多种多种方式多种多种方式漏洞扫描,山石云铠从而提高可以及 时识别和报告容器和镜像中已知的漏洞,以便导致用户及时修复。以及 ,多种多种方式病毒查杀其功能,它从而提高从而提高检测和清除容器和镜像之中潜在病毒文件,有效性预防黑客攻击。
容器运行的安全验证和准入完全控制
参照 《网路安全等级保护容器安全没有要求》没有要求:
应在容器镜像创建或部署动态动态时候集成扫描其功能,持续支持对Dockerfile和容器镜像的网路安全漏洞扫描,对不安全的镜像多种多种方式告警并阻断创建或部署流程。
山石云铠提供完整了灵活的准入完全控制其功能,使安全管理人员从而提高从而提高参照 容器/镜像的合规详细检查到于是、Kubernetes应用标签、镜像漏洞扫描到于是等多个因素自定义容器的准入策略。多种多种方式准入策略,山石云铠在容器运行时多种多种方式多种多种方式安全验证。从而提高从而提高容器不符合设定的安全没有要求,它从而提高从而提高自动多种多种方式告警或阻断容器的运行。如此从而提高从而提高防止不符合安全没有要求的容器进人运行状态如何,全面提高 容器集群的安全风险。
容器实例的入侵防护和响应处置
参照 《网路安全等级保护容器安全没有要求》没有要求:
应监测对管理大平台和容器实例的攻击行为方面并拦截,以及 容器逃逸、导致用户提权;
应对失陷容器多种多种方式响应处置,以及 关闭或细粒度隔离容器。
山石云铠提供完整了超强的入侵防御其功能,内置的丰富入侵特征,从而提高从而提高检测到多种威胁,以及 web后门多种方式、反弹shell攻击、本地提权等常见攻击手法。以及 内置特征,山石云铠还持续支持参照 特定的外部条件自定义入侵检测特征和规则,以及 技术基础命令行等特征外部条件。导致用户从而提高从而提高参照 多方面的能满足和环境中特点,灵活定义入侵检测规则,能满足多样化的入侵防护能满足。
从而提高会发现的威胁,山石云铠持续支持自动告警,及时通知安全管理人员会发现的入侵事件。以及 ,山石云铠还从而提高从而提高停用密切相关进程或容器,有效性阻断攻击的强化扩散和直接影响 。从而提高风险容器,山石云铠还持续支持技术基础微隔离核心技术多种多种方式隔离,限制其多种多种方式他容器和系统提供的直接影响 ,全面提高 整体感觉安全性。
容器状态如何的安全监控和风险阻断
参照 《网路安全等级保护容器安全没有要求》没有要求:
应审计容器实例事件,以及 进程、文件、网路等事件。
应监测容器实例运行动态时候之中恶意代码上传、上下载、横向传播行为方面并拦截。
山石云铠提供完整了自定义Kubernetes应用学习全面提高 时长的其功能,允许导致用户参照 实际能满足增设学习全面提高 时长。在学习全面提高 结束后,山石云铠会多种多种方式自动学习全面提高 预测应所用它 进程、文件和网路行为方面,并生成密切相关的行为方面模型。安全管理人员从而提高从而提高快速将这个行为方面模型转化为行为方面规则,这个规则从而提高从而提高用于检测和识别不合规的行为方面,以及 异常文件小操作或可疑网路通信等。会发现不合规行为方面后,山石云铠会自动多种多种方式告警、阻断或停用等连贯动作,以确保容器集群的安全性。
容器安全日志的备份
参照 《网路安全等级保护容器安全没有要求》没有要求:
应得以实现审计最终数据留存或备份,审计最终数据保存时间吧应符合法律法规没有要求。
山石云铠持续支持与日志产品服务器联动,将大平台的安全日志定期备份到日志产品服务器,能满足安全最终数据保存时间吧的能满足。
以及 为容器集群提供完整安全防护以及 ,山石云铠还持续支持为物理产品服务器、虚拟机等云部门工作负载提供完整一站式的安全防护以及 解决好方案,覆盖私有云、公有云、混合云等多云场景,为复杂的民营企业业务环境中构建统一的安全防护体系!