全部产品
Search

搜索本产品

    Security Center:Gunakan fitur pertahanan proaktif untuk kontainer

    文档中心

    Security Center:Gunakan fitur pertahanan proaktif untuk kontainer

    更新时间:Dec 10, 2025

    Fitur pertahanan proaktif untuk kontainer mendeteksi risiko secara proaktif ketika kontainer Anda mulai atau berjalan dari dimensi keamanan gambar, keamanan runtime, dan keamanan lingkungan runtime. Anda dapat mengonfigurasi aturan untuk memblokir gambar berisiko, menghentikan proses yang tidak tepercaya, dan mencegah pelarian kontainer. Ini membantu meningkatkan keamanan runtime kontainer Anda. Topik ini menjelaskan cara mengonfigurasi aturan tipe pemblokiran gambar berisiko, pertahanan program non-gambar, dan pencegahan pelarian kontainer.

    Deskripsi Aturan

    Tabel berikut menjelaskan jenis aturan yang dapat Anda pilih berdasarkan kebutuhan bisnis Anda.

    Jenis Aturan

    Deskripsi

    At-risk Image Blocking

    Setelah Anda membuat aturan tipe At-risk Image Blocking, Security Center mendeteksi risiko pada gambar berdasarkan aturan tersebut ketika Anda menggunakan gambar untuk membuat sumber daya di klaster yang ditentukan dalam aturan. Jika sebuah gambar sesuai dengan aturan, Security Center melakukan tindakan yang ditentukan dalam aturan pada gambar tersebut, dan menghasilkan peringatan untuk hasil deteksi risiko. Tindakan tersebut bisa berupa Peringatan, Blokir, atau Izinkan. Ini memastikan bahwa hanya gambar yang memenuhi persyaratan keamanan Anda yang dapat dijalankan di klaster Anda.

    Non-image Program Defense

    Setelah Anda membuat aturan tipe Non-image Program Defense, Security Center mendeteksi dan memblokir startup program yang tidak termasuk dalam image kluster tertentu di dalam aturan. Hal ini membantu melindungi terhadap intrusi perangkat lunak jahat serta serangan yang dikenal maupun yang tidak dikenal.

    Container Escape Prevention

    Setelah Anda membuat aturan tipe Container Escape Prevention, Security Center mendeteksi operasi berisiko dari beberapa dimensi, seperti proses, file, dan panggilan sistem, serta membangun penghalang perlindungan antara kontainer dan host. Ini membantu memblokir perilaku pelarian dan memastikan keamanan runtime kontainer secara efisien. Anda juga dapat menggunakan tipe aturan ini untuk memblokir serangan yang diluncurkan dengan mengeksploitasi kerentanan kontainer untuk mengambil alih host. Ini membantu meningkatkan keamanan sistem operasi.

    Batasan

    Fitur ini hanya tersedia di Security Center edisi Ultimate. Untuk informasi selengkapnya tentang cara membeli dan mengupgrade Security Center, lihat Beli Security Center dan Upgrade and Upgrade dan downgrade Security Center.

    Pemblokiran Gambar Berisiko

    Jenis Klaster yang Didukung

    Fitur At-risk Image Blocking hanya mendukung klaster Container Service for Kubernetes (ACK). Tabel berikut menjelaskan dukungan untuk klaster ACK.

    Klaster ACK

    Didukung

    Klaster ACK Managed

    Ya

    Klaster ACK Dedicated

    Ya

    Klaster ACK Serverless

    Tidak

    Klaster Kubernetes Edge Managed

    Tidak

    Klaster Terdaftar

    Tidak

    Prinsip

    Setelah Anda membuat aturan tipe At-risk Image Blocking untuk klaster, permintaan dikirim ke Security Center untuk mendeteksi risiko gambar ketika Anda menggunakan gambar yang ditentukan dalam aturan untuk membuat sumber daya seperti pod di klaster. Security Center memeriksa apakah gambar tersebut mengandung risiko yang Anda pilih dalam aturan. Jika gambar tersebut sesuai dengan aturan, Security Center menangani gambar tersebut berdasarkan tindakan yang ditentukan dalam aturan, dan menghasilkan peristiwa keamanan untuk tindakan Peringatan dan Blokir. Tindakan tersebut bisa berupa Peringatan, Blokir, atau Izinkan.

    Jika beberapa aturan dibuat untuk klaster, semua aturan berlaku. Jika sebuah gambar sesuai dengan beberapa aturan, Security Center menangani gambar tersebut berdasarkan tindakan yang ditentukan dalam aturan, dan menghasilkan beberapa peringatan.

    Jika beberapa kebijakan dikonfigurasi dalam aturan dan kebijakan tersebut sesuai, Security Center segera menangani risiko berdasarkan tindakan yang ditentukan dalam aturan. Security Center tidak lagi mencocokkan gambar tersebut dengan kebijakan lainnya. Security Center mendeteksi jenis risiko berikut pada gambar secara berurutan: gambar yang belum dipindai, risiko dasar, gambar internet jahat, sampel jahat, kerentanan, file sensitif, dan risiko perintah pembuatan gambar.

    Prasyarat

    Sebelum Anda membuat aturan, pastikan komponen yang diperlukan untuk manajemen kebijakan telah diinstal di konsol ACK. Komponen yang diperlukan adalah gatekeeper, policy-template-controller, dan logtail-ds. Untuk informasi lebih lanjut, lihat Instal atau perbarui komponen tata kelola kebijakan.

    Buat Aturan

    Catatan

    Anda dapat membuat hingga 40 aturan untuk setiap klaster.

    1. Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih Protection Configuration > Container Protection > Proactive Defense for Containers.

    3. Pilih At-risk Image Blocking untuk Jenis Aturan. Lalu, klik Create Rule.

      Jika Anda telah membuat aturan untuk klaster, temukan aturan tersebut dan klik Copy di kolom Aksi. Di panel Copy Rule, Anda dapat memodifikasi parameter aturan berdasarkan kebutuhan bisnis Anda dan klik OK.

    4. Di panel Create Rule, konfigurasikan parameter dan klik Next. Tabel berikut menjelaskan parameter.

      Parameter

      Deskripsi

      Rule Name

      Pilih template aturan dari daftar drop-down dan masukkan nama untuk aturan tersebut. Anda dapat memilih Template Kosong untuk membuat aturan berdasarkan kebutuhan bisnis Anda. Anda juga dapat memilih template yang ada dengan pengaturan deteksi risiko yang telah dikonfigurasi sebelumnya.

      Rule Description

      Masukkan deskripsi untuk aturan tersebut.

      Rule Configuration

      Pilih jenis risiko yang dideteksi oleh Security Center pada gambar. Jika Anda memilih kotak centang di sebelah jenis risiko, Security Center mendeteksi risiko tersebut. Jika Anda menghapus kotak centang, Security Center tidak mendeteksi risiko tersebut. Daftar berikut menjelaskan jenis risiko yang didukung:

      • Unscanned Image

        Jika Anda memilih jenis risiko ini, Security Center mendeteksi startup gambar yang tidak dipindai oleh pemindaian gambar kontainer.

        Penting

        Jika Anda memilih jenis risiko ini, kami sarankan Anda mengatur Tindakan Aturan menjadi Peringatan. Jika Anda memiliki persyaratan tinggi untuk manajemen keamanan, Anda dapat mengubah tindakan menjadi Blokir. Sebelum Anda mengubah tindakan, kami sarankan Anda mengamati peristiwa peringatan yang dihasilkan berdasarkan pengaturan yang ada selama periode waktu tertentu dan periksa apakah bisnis Anda terpengaruh. Jika bisnis Anda tidak terpengaruh, Anda dapat mengubah tindakan aturan tersebut.

      • Malicious Internet Image

        Jika Anda memilih jenis risiko ini, Security Center mendeteksi startup gambar yang ditandai sebagai jahat di Internet, seperti gambar jahat yang diunduh dari repositori gambar publik dan gambar yang ditarik dari repositori Docker Hub yang mengandung program jahat seperti webshell dan trojan.

      • Baseline

        Jika Anda memilih jenis risiko ini, Security Center memeriksa gambar terhadap konfigurasi keamanan standar dan praktik terbaik yang telah ditentukan sebelumnya.

      • Vulnerability

        Jika Anda memilih jenis risiko ini, Security Center mendeteksi kerentanan yang dapat menyebabkan risiko keamanan pada lingkungan kontainer, dan mendeteksi kerentanan aplikasi terkait dalam gambar.

      • Malicious Sample

        Jika Anda memilih jenis risiko ini, Security Center mendeteksi file jahat, kode, dan perilaku yang mungkin ada dalam gambar kontainer dan runtime kontainer.

      • Sensitive File

        Jika Anda memilih jenis risiko ini, Security Center mendeteksi file sensitif umum.

      • Built Risks Exist

        Jika Anda memilih jenis risiko ini, Security Center mendeteksi risiko perintah pembuatan gambar.

      Penting

      • Jika sebuah gambar sesuai dengan aturan, Security Center menghasilkan peringatan berdasarkan aturan dan menangani risiko berdasarkan tindakan yang ditentukan dalam aturan.

      • Anda dapat mengonfigurasi parameter deteksi untuk jenis risiko berikut berdasarkan kebutuhan bisnis Anda: risiko dasar, kerentanan, sampel jahat, file sensitif, dan risiko perintah pembuatan gambar.

      • Kondisi yang Anda tentukan dalam kebijakan untuk jenis risiko dievaluasi menggunakan logika OR. Misalnya, jika Anda mengatur Tingkat Risiko ke Risiko Tinggi dan menentukan beberapa CVE ID saat Anda mengonfigurasi kebijakan untuk kerentanan, aturan tersebut sesuai jika gambar yang dimulai mengandung kerentanan tinggi atau kerentanan dengan ID CVE yang ditentukan.

      Rule Action

      Tentukan tindakan yang ingin Anda lakukan oleh Security Center saat aturan tersebut sesuai. Nilai valid:

      • Alert: Jika sebuah gambar dimulai dan sesuai dengan aturan, peringatan yang Rule Action adalah Alert dihasilkan di halaman Alert.

      • Block: Jika sebuah gambar dimulai dan sesuai dengan aturan, gambar tersebut diblokir, dan peringatan yang Rule Action adalah Block dihasilkan di halaman Alert.

      • Allow: Jika sebuah gambar dimulai dan sesuai dengan aturan, gambar tersebut diizinkan, dan peringatan yang Rule Action adalah Allow dihasilkan di halaman Alert.

      Add to Whitelist

      Klik Create Rule dan masukkan tag gambar yang ingin Anda tambahkan ke daftar putih. Anda dapat menambahkan hingga 20 gambar ke daftar putih. Setelah Anda menambahkan gambar ke daftar putih, Security Center tidak lagi mendeteksi risiko pada gambar tersebut saat gambar tersebut dimulai.

      Pencocokan kabur didukung dengan menggunakan kata kunci. Misalnya, jika Anda ingin menambahkan gambar yang alamatnya adalah yundun-example-registry.cn-hangzhou.aliyuncs.com/yundun-example/yun-repo:test ke daftar putih, Anda dapat memasukkan salah satu kata kunci berikut:

      • yun-repo

      • test

      • yun-repo:test

      • repo:test

    5. Konfigurasikan ruang lingkup perlindungan dan klik OK.

      Klik tab Klaster,Gambar, atau Tag untuk memilih aset yang ingin Anda lindungi.

    Lihat Peringatan yang Dihasilkan

    Setelah Anda membuat aturan tipe pemblokiran gambar berisiko, Anda dapat melakukan operasi berikut untuk melihat dan menangani peringatan yang dihasilkan: Masuk ke Security Center console. Di panel navigasi sisi kiri, pilih Detection and Response > Alerts. Di halaman Peringatan, pilih Risk Image Blocking untuk Jenis Peringatan. Temukan peringatan yang ingin Anda kelola dan klik Details di kolom Actions. Di tab Detail pada panel detail yang muncul, Anda dapat menangani peringatan berdasarkan Suggestions.

    风险镜像阻断告警

    Kelola Aturan

    Setelah Anda membuat aturan tipe pemblokiran gambar berisiko, Anda dapat melakukan operasi berikut:

    • Lihat ruang lingkup perlindungan aturan

      Temukan aturan yang ruang lingkup perlindungannya ingin Anda lihat dan klik nomor di kolom Protection Scope. Di panel Protection Scope, lihat klaster, gambar, dan tag yang dilindungi oleh aturan tersebut.

    • Modifikasi aturan

      Temukan aturan yang ingin Anda modifikasi dan klik Edit di kolom Aksi. Di panel Edit Rule, modifikasi parameter dan ruang lingkup perlindungan.

    • Salin aturan

      Temukan aturan yang ingin Anda salin dan klik Copy di kolom Actions. Di panel Copy Rule, modifikasi parameter dan ruang lingkup perlindungan aturan untuk membuat aturan lain.

    • Hapus aturan

      Penting

      Setelah Anda menghapus aturan, aset yang dilindungi oleh aturan tersebut tidak lagi dilindungi, dan aturan tidak dapat dipulihkan. Lanjutkan dengan hati-hati.

      Temukan aturan yang ingin Anda hapus dan klik Delete di kolom Aksi. Di pesan yang muncul, klik OK.

    Pertahanan Program Non-Gambar

    Dalam lingkungan kontainer, perangkat lunak dasar termasuk dalam gambar kontainer. Anda tidak perlu menginstal atau memodifikasi perangkat lunak saat kontainer sedang berjalan. Startup program yang tidak termasuk dalam gambar selama runtime kontainer dianggap sebagai perilaku abnormal. Perilaku ini mungkin disebabkan oleh perangkat lunak jahat seperti trojan yang dimasukkan oleh penyerang. Fitur pertahanan program non-gambar dapat mendeteksi dan memblokir perilaku tersebut, yang membantu memastikan keamanan runtime kontainer.

    Batasan pada Gambar Kontainer

    Gambar kontainer harus memenuhi kriteria berikut untuk berhasil mengaktifkan aturan pertahanan dan aturan daftar putih yang sesuai:

    • Panjang jalur program yang berjalan di dalam kontainer tidak boleh melebihi 1.023 karakter.

    • Panjang namespace klaster kontainer tidak boleh melebihi 287 karakter.

    • Proses agen Security Center di dalam kontainer harus memiliki versi minimum berikut:

      • AliYunDun: aegis_12_13 atau lebih tinggi

      • AliHips: 00_43 atau lebih tinggi

    • Untuk gambar kontainer yang termasuk dalam aturan daftar putih, pastikan nama gambar kontainer yang sesuai tidak melebihi 287 karakter panjangnya.

    Kelola Aturan Sistem

    • Aktifkan Aturan

      • Secara default, Security Center menyediakan aturan sistem untuk pertahanan program non-gambar. Aturan sistem secara otomatis diaktifkan untuk pengguna yang tidak mengonfigurasi aturan kustom untuk pertahanan program non-gambar. Aturan sistem menghasilkan peringatan untuk startup program non-gambar di semua klaster yang ditambahkan ke Security Center.

      • Anda dapat secara manual mengaktifkan atau menonaktifkan aturan sistem.

    • Tindakan Aturan

      Tindakan yang ditentukan dalam aturan sistem adalah Peringatan. Saat startup program non-gambar terdeteksi, Security Center menghasilkan peringatan dan tidak memblokir startup program non-gambar tersebut.

    • Lihat Aturan

      Anda dapat melakukan operasi berikut untuk melihat aturan sistem untuk pertahanan program non-gambar: Masuk ke konsol Security Center dan pilih Protection Configuration > Container Protection > Proactive Defense for Containers. Lalu, pilih Non-image Program Defense untuk Jenis Aturan dan lihat aturan sistem di tab System Rules.

    • Modifikasi Aturan

      Anda dapat memodifikasi klaster tempat aturan sistem berlaku. Jika klaster diubah atau klaster baru ditambahkan, sistem secara otomatis menambahkan klaster baru ke ruang lingkup perlindungan.

    • Gunakan Aturan

      • Pertama kali Anda menggunakan fitur pertahanan program non-gambar, kami sarankan Anda memeriksa apakah peringatan positif palsu dihasilkan oleh aturan sistem.

      • Anda tidak dapat mengonfigurasi daftar putih dalam aturan sistem atau memblokir perilaku berisiko yang dideteksi oleh aturan sistem. Jika Anda ingin mengonfigurasi daftar putih atau memblokir perilaku berisiko, Anda dapat membuat aturan kustom.

      • Setelah Anda membuat aturan kustom, aturan sistem secara otomatis dinonaktifkan dan tidak dapat diaktifkan kembali. Jika Anda ingin mengaktifkan aturan sistem, Anda harus menghapus semua aturan kustom.

    Buat Aturan Kustom

    1. Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih Protection Configuration > Container Protection > Proactive Defense for Containers.

    3. Di bagian Jenis Aturan, klik Non-image Program Defense.

    4. Di tab Custom Rules, klik Create Rule.

    5. Di panel Create Rule, konfigurasikan parameter dan klik Next. Tabel berikut menjelaskan parameter.

      Parameter

      Deskripsi

      Rule Name

      Masukkan nama untuk aturan tersebut.

      Rule Description

      Masukkan deskripsi untuk aturan tersebut.

      Status

      Nyalakan atau matikan saklar untuk mengaktifkan atau menonaktifkan aturan. Nilai valid:

      • Nyala: Jika Anda menyalakan saklar, aturan diaktifkan setelah dibuat dan secara otomatis diterapkan untuk melindungi klaster dalam ruang lingkup perlindungan.

      • Mati: Jika Anda mematikan saklar, aturan dinonaktifkan dan tidak berlaku setelah dibuat.

      Defense Action

      Tentukan tindakan yang dilakukan setelah aturan dipicu. Nilai valid:

      • Alert: Jika proses yang tidak tepercaya terdeteksi, Security Center menghasilkan peringatan.

      • Block: Jika proses yang tidak tepercaya terdeteksi, Security Center menghasilkan peringatan dan memblokir proses tersebut.

        Catatan

        Kami sarankan Anda terlebih dahulu mengatur parameter Tindakan Pertahanan menjadi Peringatan. Jika tidak ada program yang tidak termasuk dalam gambar kontainer yang diinstal dan dimulai selama runtime kontainer Anda, ubah nilai parameter Tindakan Pertahanan menjadi Blokir. Ini membantu mencegah positif palsu.

      Create File Directory Whitelist

      Klik Create Rule dan masukkan direktori file yang ingin Anda tambahkan ke daftar putih. Contoh: /user/name1.

      Create Image Whitelist

      Klik Create Rule dan masukkan gambar yang ingin Anda tambahkan ke daftar putih. Pencocokan kabur didukung dengan menggunakan kata kunci. Misalnya, jika Anda ingin menambahkan gambar yang alamatnya adalah yundun-example-registry.cn-hangzhou.aliyuncs.com/yundun-example/yun-repo:test ke daftar putih, Anda dapat memasukkan salah satu kata kunci berikut:

      • yun-repo

      • test

      • yun-repo:test

      • repo:test

    6. Di pesan yang muncul, klik OK. Setelah membuat aturan kustom, aturan sistem akan dinonaktifkan secara otomatis.

    7. Pilih klaster tempat Anda ingin menerapkan aturan, lalu klik OK.

      Anda dapat memilih klaster yang terhubung ke Security Center. Hanya satu aturan yang dapat dikonfigurasi untuk setiap klaster. Jika sebuah klaster sudah memiliki aturan yang dikonfigurasi, klaster tersebut tidak akan tersedia untuk dipilih pada langkah ini.

    Lihat Peringatan yang Dihasilkan

    Setelah membuat dan mengaktifkan aturan tipe pertahanan program non-gambar, Anda dapat melihat peringatan yang dihasilkan dengan melakukan langkah-langkah berikut: Masuk ke konsol Security Center, pilih Detection and Response > Alerts, lalu pilih Container Active Defense untuk Jenis Peringatan. Nama peringatan adalah Non mirror native program startup. Peringatan yang dihasilkan berdasarkan fitur pertahanan program non-gambar dikategorikan menjadi beberapa jenis berdasarkan nilai parameter Tindakan Pertahanan dalam aturan:

    • Jika parameter Tindakan Pertahanan diatur ke Alert dalam aturan, peringatan dengan status Unhandled akan dihasilkan ketika aturan tersebut dipicu. Disarankan untuk segera menangani peringatan tersebut. Untuk informasi lebih lanjut, lihat Lihat dan tangani peringatan.image

    • Jika parameter Tindakan Pertahanan diatur ke Block dalam aturan, peringatan dengan status Process Not Exists atau Process Terminated akan dihasilkan ketika aturan tersebut dipicu. Peringatan tipe ini dapat dilihat dalam daftar peringatan yang telah ditangani. Berikut adalah penjelasan mengenai status Proses Tidak Ada dan status Proses Dihentikan:

      • Process Not Exists: Proses tersebut hanya ada untuk waktu singkat dan dihentikan sebelum Security Center menanganinya. Anda tidak perlu menangani peringatan dalam status ini.

      • Process Terminated: Security Center telah memblokir proses tersebut. Anda tidak perlu menangani peringatan dalam status ini.

      image

    Kelola Aturan

    Setelah membuat aturan tipe pertahanan program non-gambar, Anda dapat melakukan operasi berikut dalam daftar aturan:

    • Lihat Ruang Lingkup Perlindungan Aturan

      Temukan aturan yang ruang lingkup perlindungannya ingin Anda lihat, lalu klik nomor di kolom Protection Scope. Di panel Protection Scope, tinjau klaster yang dilindungi oleh aturan tersebut.

    • Aktifkan atau Nonaktifkan Aturan

      Temukan aturan yang ingin Anda kelola dan klik saklar di kolom Enable untuk mengaktifkan atau menonaktifkan aturan tersebut.

    • Modifikasi Aturan

      Temukan aturan yang ingin Anda modifikasi dan klik Edit di kolom Actions untuk memodifikasi nama, deskripsi, status, tindakan, pengaturan daftar putih, serta ruang lingkup perlindungan aturan tersebut.

    • Hapus Aturan

      Penting

      • Aturan sistem tidak dapat dihapus.

      • Setelah aturan dihapus, aturan tersebut tidak dapat dipulihkan. Sebelum menghapus aturan, pastikan Anda tidak lagi memerlukannya.

      Temukan aturan yang ingin Anda hapus dan klik Delete di kolom Actions. Di pesan konfirmasi yang muncul, klik OK.

    Pencegahan Pelarian Kontainer

    Kontainer, kecuali kontainer keamanan, yang berada di host menggunakan kernel sistem operasi yang berjalan di host. Dalam hal ini, penyerang dapat mengeksploitasi kerentanan dalam kontainer untuk melaksanakan peningkatan hak istimewa dan mengendalikan sistem operasi host atau kontainer lain yang berada di host. Security Center menyediakan fitur pencegahan pelarian kontainer yang memblokir pelarian kontainer untuk memastikan keamanan runtime kontainer. Anda harus mengonfigurasi aturan untuk menggunakan fitur tersebut.

    Klaster yang Didukung

    Fitur pencegahan pelarian kontainer mendukung klaster yang memenuhi kondisi berikut:

    • Server tempat klaster diterapkan ditambahkan ke Security Center.

    • Klaster adalah Klaster ACK Managed, Klaster ACK Dedicated, atau klaster Kubernetes mandiri yang terhubung ke Security Center.

    Prasyarat

    • Saklar untuk Malicious Host Behavior Prevention atau Webshell Prevention diaktifkan. Untuk informasi lebih lanjut, lihat Pertahanan Proaktif.

    • Saklar untuk Container Escape Prevention diaktifkan. Untuk informasi lebih lanjut, lihat Pencegahan Pelarian Kontainer.

    Kelola Aturan Sistem

    • Aktifkan Aturan

      • Security Center menyediakan berbagai aturan tipe pencegahan pelarian kontainer. Secara default, aturan tersebut diaktifkan untuk semua klaster yang dilindungi oleh Security Center. Aturan tersebut disebut sebagai aturan sistem.

      • Anda dapat secara manual mengaktifkan atau menonaktifkan aturan sistem.

    • Tindakan Aturan

      Tindakan yang ditentukan dalam aturan sistem adalah Peringatan. Saat perilaku pelarian terdeteksi, Security Center menghasilkan peringatan dan tidak memblokir perilaku tersebut.

    • Lihat Aturan

      Untuk melihat detail aturan sistem: Masuk ke konsol Security Center dan pilih Protection Configuration > Container Protection > Proactive Defense for Containers di panel navigasi sisi kiri. Di bagian Jenis Aturan, klik Container Escape Prevention. Lalu, klik tab System Rules.

    • Modifikasi Aturan

      Anda dapat memodifikasi klaster tempat aturan sistem berlaku. Jika klaster diubah atau klaster baru ditambahkan, sistem secara otomatis menambahkan klaster baru ke ruang lingkup perlindungan.

    • Gunakan Aturan

      • Pertama kali Anda menggunakan fitur pencegahan pelarian kontainer, kami sarankan Anda memeriksa apakah peringatan positif palsu dihasilkan oleh aturan sistem. Jika tidak ada peringatan positif palsu yang dihasilkan, Anda dapat mengubah tindakan aturan yang ditentukan dalam aturan menjadi Blokir.

      • Anda tidak dapat mengonfigurasi daftar putih dalam aturan sistem atau memblokir perilaku berisiko yang dideteksi oleh aturan sistem. Jika Anda ingin mengonfigurasi daftar putih atau memblokir perilaku berisiko, Anda dapat membuat aturan kustom.

      • Setelah Anda membuat aturan kustom dari tipe tertentu, aturan sistem dari tipe yang sama secara otomatis dinonaktifkan.

    Buat Aturan Kustom

    Security Center menyediakan jenis aturan kustom yang sama dengan aturan sistem. Anda dapat mengonfigurasi daftar putih dan mengatur Tindakan Pertahanan menjadi Blokir untuk aturan kustom.

    1. Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sebelah kiri, pilih Protection Configuration > Container Protection > Proactive Defense for Containers.

    3. Di bagian Jenis Aturan, klik Container Escape Prevention.

    4. Di tab Custom Rules, klik Create Rule.

    5. Di panel Create Rule, konfigurasikan parameter dan klik Next. Tabel berikut menjelaskan parameter.

      Parameter

      Deskripsi

      Rule Name

      Masukkan nama untuk aturan tersebut.

      Rule Type

      Pilih tipe aturan dari daftar drop-down.

      Anda dapat memilih tipe aturan berdasarkan persyaratan keamanan Anda.

      Setelah Anda memilih tipe, semua item pemeriksaan yang didukung untuk tipe tersebut dipilih. Jika Anda tidak memerlukan item pemeriksaan tertentu, Anda dapat menghapus item pemeriksaan tersebut.

      Anda dapat melihat tipe aturan yang didukung dan item pemeriksaan di konsol Security Center.

      Defense Action

      Tentukan tindakan yang dilakukan setelah aturan dipicu. Nilai valid:

      • Alert: Security Center hanya menghasilkan peringatan ketika risiko yang ditentukan dalam aturan terdeteksi.

      • Block: Security Center menghasilkan peringatan dan memblokir proses atau operasi terkait ketika risiko yang ditentukan dalam aturan terdeteksi.

      Penting

      Aturan mungkin dipicu dalam beberapa skenario bisnis normal. Saat Anda mengonfigurasi aturan, kami sarankan Anda mengatur parameter Tindakan Pertahanan menjadi Peringatan dan memeriksa apakah peringatan positif palsu dihasilkan dalam periode waktu tertentu. Jika tidak ada peringatan positif palsu yang dihasilkan, ubah nilai parameter Tindakan Pertahanan menjadi Blokir.

      Add to Whitelist

      Klik Create Rule dan masukkan nama tag gambar yang ingin Anda tambahkan ke daftar putih. Anda dapat menambahkan hingga 20 gambar ke daftar putih.

      Pencocokan kabur didukung dengan menggunakan kata kunci. Misalnya, jika Anda ingin menambahkan gambar yang alamatnya adalah yundun-example-registry.cn-hangzhou.aliyuncs.com/yundun-example/yun-repo:test ke daftar putih, Anda dapat memasukkan salah satu kata kunci berikut:

      • yun-repo

      • test

      • yun-repo:test

      • repo:test

      Penting

      Setelah Anda menambahkan gambar ke daftar putih, Security Center tidak mendeteksi perilaku pelarian pada gambar tersebut. Lanjutkan dengan hati-hati.

      Setelah Anda menyelesaikan langkah ini, aturan tersebut akan ditampilkan dalam daftar aturan.

    6. Pilih klaster yang ingin Anda lindungi dan klik OK.

      Anda hanya dapat memilih kluster yang terhubung ke Security Center. Jika Anda ingin Security Center melindungi kluster Kubernetes yang dikelola sendiri, Anda harus menghubungkan kluster tersebut ke Security Center. Untuk informasi lebih lanjut, lihat Tambahkan kluster Kubernetes yang dikelola sendiri ke Security Center.

    Lihat Peringatan yang Dihasilkan

    Setelah Anda membuat dan mengaktifkan aturan tipe pencegahan pelarian kontainer, Anda dapat melakukan operasi berikut untuk melihat peringatan yang dihasilkan: Masuk ke konsol Security Center, pilih Deteksi dan Tanggapan > Peringatan, lalu pilih Container Escape Prevention untuk Jenis Peringatan. Peringatan yang dihasilkan berdasarkan fitur pencegahan pelarian kontainer dibagi menjadi jenis-jenis berikut berdasarkan nilai parameter Tindakan Pertahanan dalam aturan:

    • Jika parameter Tindakan Pertahanan diatur ke Alert dalam aturan, peringatan dalam status Unhandled dihasilkan ketika aturan tersebut dipicu. Kami sarankan Anda menangani peringatan tersebut secepat mungkin. Untuk informasi lebih lanjut, lihat Lihat dan tangani peringatan.未处理告警

    • Jika parameter Tindakan Pertahanan diatur ke Block dalam aturan, peringatan dalam status Blocked dihasilkan ketika aturan tersebut dipicu. Ini menunjukkan bahwa Security Center telah memblokir pelarian kontainer. Anda tidak perlu menangani peringatan tersebut.拦截成功

    Kelola Aturan

    • Lihat ruang lingkup perlindungan aturan

      Temukan aturan yang ruang lingkup perlindungannya ingin Anda lihat dan klik nomor di kolom Protection Scope. Di panel Protection Scope, lihat klaster yang dilindungi oleh aturan tersebut. Nilai di kolom Interceptable Status menunjukkan status agen Security Center yang diinstal pada server tempat klaster tersebut diterapkan. Aturan hanya berlaku pada klaster ketika agen dalam status Normal. Jika agen dalam status Abnormal, nyalakan saklar untuk Malicious Host Behavior Prevention atau Webshell Prevention untuk server tempat klaster tersebut diterapkan di halaman Feature Settings. Untuk informasi lebih lanjut tentang cara menyalakan saklar, lihat Aktifkan fitur di tab Pengaturan Perlindungan Host.

    • Aktifkan atau nonaktifkan aturan

      Temukan aturan yang ingin Anda kelola dan klik saklar di kolom Enable untuk mengaktifkan atau menonaktifkan aturan tersebut.

    • Modifikasi Aturan

      Temukan aturan yang ingin Anda modifikasi dan klik Edit di kolom Actions untuk memodifikasi nama, tipe, status, tindakan, pengaturan daftar putih, dan ruang lingkup perlindungan aturan tersebut. Modifikasi tersebut berlaku dalam 10 menit.

    • Hapus Aturan

      Penting

      • Aturan sistem tidak dapat dihapus.

      • Setelah aturan dihapus, aturan tersebut tidak dapat dipulihkan. Sebelum Anda menghapus aturan, pastikan Anda tidak lagi memerlukan aturan tersebut.

      Temukan aturan yang ingin Anda hapus dan klik Delete di kolom Actions. Di pesan yang muncul, klik OK.

    Referensi