【云安全】容器安全管理系统

a) 产品概述

容器安全能做到对容器的全面保护又能灵活地跟容器编排体系相结合。在整个容器的安全生命周期中，采用自动检测、自动分析、自动处理的方式来防御整个容器生命周期中所遇到的安全威胁。在防护技术上使用智能检测、机器学习与威胁预测等先进的方法来确保容器及容器内应用安全。

b) 重要性

镜像风险管理：在生产环境中，有40%的镜像来源于公开的镜像仓库，镜像的漏洞问题十分突出，需要对镜像文件进行安全检测，包括历史命令、敏感信息、镜像漏洞等，可通过安全体检排查发现镜像风险问题。

容器资源可视化：容器、镜像、主机作为容器环境中核心的资源，需要建立全局的可视化管理，清晰的了解资源的风险、数量、关系的变化，能协助完成资产的采集及变更分析。

容器安全风险：由于Docker容器与宿主机共用内核，在内核层面的隔离性不足。攻击者可通过利用漏洞“逃逸”出自身拥有的权限，实现对宿主机或者宿主机上其他容器的访问，可实现容器及镜像的安全防护。

容器镜像合规检测：需要对容器编排环境进行合规性检测，发现不安全的配置进行识别和加固，基线核查可协助完成定期的合规性检测排查。

c) 产品形态

容器

d) 产品功能

容器安全能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

1、容器资产管理：镜像资产和容器资产采集，同时具备资产变更分析功能。

2、镜像安全体检：可主动发起镜像深度检测，检测的项目包括：镜像漏洞、病毒木马、网页后门、敏感信息等。安全体检检测出的问题系统自动进行问题归类到镜像安全模块中。

3、镜像文件的安全防护：对制作的镜像文件进行静态和动态的安全扫描，以发现镜像文件中的安全漏洞、木马病毒、是否存在有证书、密钥等敏感文件，从而保证进入生产环境的镜像是安全的，还需对镜像的来源和历史操作行为进行分析，对非法来源和有安全问题的镜像禁止运行。

4、容器运行保护：对容器运行过程进行全程的安全监控，进而对容器访问宿主机的资源进行细粒度的控制，防止有越权访问破坏容器隔离性的行为。

e) 部署方式

软件

f) 产品选型