Tab Container Protection Settings di Konsol Security Center memungkinkan Anda mengaktifkan fitur keamanan runtime kontainer, termasuk deteksi ancaman pada kontainer Kubernetes dan pencegahan escape kontainer.
Deteksi ancaman pada kontainer Kubernetes
Deteksi ancaman pada kontainer Kubernetes memantau status keamanan kluster kontainer yang sedang berjalan secara real-time, mendeteksi serangan dan perilaku abnormal saat terjadi. Ketika suatu ancaman teridentifikasi, Security Center secara otomatis menghasilkan peringatan keamanan bertipe K8s Abnormal Behavior, memberikan peringatan dini kepada tim Anda untuk segera menyelidiki dan merespons sebelum kerusakan meluas.
Sebagai contoh, kompromi dapat dimulai dari satu kontainer yang rentan—penyerang mengeksploitasinya untuk menjalankan perintah berbahaya, melakukan pergerakan lateral di antara akun layanan, dan akhirnya melakukan escape ke host atau mengekstraksi data. Fitur deteksi ancaman memantau seluruh rantai tersebut: mulai dari instruksi mencurigakan pada server API Kubernetes dan startup image berbahaya hingga reverse shell dan peningkatan hak istimewa dalam kontainer.
Batasan
Layanan berlangganan:
Tersedia untuk edisi Enterprise atau Ultimate. Untuk melakukan peningkatan, lihat Purchase Security Center.
Server harus dikonfigurasi untuk edisi perlindungan Enterprise atau Ultimate. Untuk petunjuknya, lihat Manage host and container security quotas.
Layanan pay-as-you-go:
Layanan Host and Container Security harus diaktifkan. Untuk mengaktifkannya, lihat Purchase Security Center.
Server harus diatur ke tingkat Host Protection atau Host and Container Protection. Untuk petunjuknya, lihat Pay-as-you-go instances.
Aktifkan deteksi ancaman pada kontainer Kubernetes
Masuk ke atau Security Center console. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola: China atau Outside China.
Di panel navigasi kiri, pilih System Settings > Feature Settings.
Di tab Container Protection Settings pada bagian Settings, buka bagian Threat Detection on Kubernetes Containers dan aktifkan Threat Detection.
Setelah Anda mengaktifkan sakelar tersebut, ancaman yang terdeteksi akan muncul sebagai peringatan di halaman Detection and Response > Alert. Tinjau dan tangani peringatan tersebut segera. Untuk detailnya, lihat Evaluate and handle security alerts.
Jika fitur Agentic SOC diaktifkan, titik masuk ke Alert akan berubah. Untuk detailnya, lihat Agentic SOC overview.
Ancaman yang dapat dideteksi
Fitur ini mendeteksi ancaman dalam lima kategori:
| Kategori | Item yang dapat dideteksi |
|---|---|
| K8s abnormal behavior | Instruksi mencurigakan yang dijalankan pada server API Kubernetes; pemasangan direktori mencurigakan ke Pod; pergerakan lateral di antara akun layanan Kubernetes; startup Pod yang berisi image berbahaya |
| Unusual network connection | Koneksi outbound reverse shell; koneksi jaringan outbound mencurigakan; pergerakan lateral mencurigakan di jaringan internal |
| Malware | Trojan DDoS; koneksi mencurigakan dari mesin penambangan; program mencurigakan; tool mencurigakan yang memulai serangan brute-force pada port; program serangan mencurigakan; program backdoor; tool deteksi kerentanan berbahaya; program berbahaya; program penambangan; trojan; trojan self-mutating; worm |
| WebShell | WebShell |
| Suspicious process | Perintah mencurigakan yang dijalankan oleh Apache CouchDB; perintah mencurigakan yang dijalankan oleh aplikasi FTP; perintah mencurigakan yang dijalankan oleh Hadoop; perintah mencurigakan yang dijalankan oleh aplikasi Java; perintah mencurigakan yang dijalankan oleh Jenkins; pembuatan akun mencurigakan di Linux; perintah mencurigakan yang dijalankan oleh tugas terjadwal di Linux; perintah mencurigakan yang dijalankan oleh MySQL; perintah mencurigakan yang dijalankan oleh Oracle; perintah mencurigakan yang dijalankan oleh aplikasi PostgreSQL; perintah mencurigakan yang dijalankan oleh aplikasi Python; eksekusi mencurigakan perintah SSH non-interaktif yang hanya terdiri dari satu baris dan ditujukan ke mesin remote; webshell yang menjalankan perintah probe mencurigakan; modifikasi konfigurasi RDP Windows untuk port 3389; eksekusi mencurigakan perintah unduh di Windows; pembuatan akun mencurigakan di Windows; injeksi kode berbahaya dalam pekerjaan crontab; urutan perintah mencurigakan di Linux; eksekusi perintah mencurigakan di Linux; injeksi dinamis skrip mencurigakan; reverse shell; perintah reverse shell; potensi kebocoran data melalui saluran data HTTP; teknik tunneling SSH mencurigakan; injeksi webshell mencurigakan; startup kontainer dengan hak istimewa mencurigakan; pendengaran port mencurigakan; startup kontainer berbahaya; debugging API remote di Docker yang berpotensi menimbulkan risiko keamanan; perintah mencurigakan; peningkatan hak istimewa dalam kontainer atau escape kontainer; startup kontainer berbahaya |
Pencegahan pelarian container
Pencegahan escape kontainer memantau proses, file, dan system call untuk mendeteksi perilaku berisiko tinggi sebelum escape kontainer berhasil. Fitur ini membentuk penghalang protektif antara kontainer dan host, mencegat pola serangan yang dikenal maupun tidak dikenal—termasuk serangan yang mengeksploitasi kerentanan kontainer untuk mencapai host yang mendasarinya.
Prasyarat
Sebelum memulai, pastikan setidaknya salah satu sakelar berikut diaktifkan:
Malicious Host Behavior Prevention
Webshell Prevention
Untuk petunjuknya, lihat Proactive Defense.
Aktifkan pencegahan escape kontainer
Masuk ke atau Security Center console. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola: China atau Outside China.
Di panel navigasi kiri, pilih System Settings > Feature Settings.
Di tab Container Protection Settings pada bagian Settings, buka bagian Container Escape Prevention dan aktifkan Threat Detection.
Langkah selanjutnya
Setelah mengaktifkan pencegahan escape kontainer:
Buat aturan pertahanan untuk escape kontainer guna mengaktifkan perlindungan. Untuk petunjuknya, lihat Use container escape prevention.
Jika Security Center mendeteksi risiko di kluster Kubernetes Anda, peringatan akan muncul di halaman Detection and Response > Alert. Tinjau dan tangani peringatan tersebut segera. Untuk detailnya, lihat Evaluate and handle security alerts.
Jika fitur Agentic SOC diaktifkan, titik masuk ke Alert akan berubah. Untuk detailnya, lihat Agentic SOC overview.