Container ServiceACK提供安全概覽功能,支援對節點、容器鏡像、容器運行時、工作負載配置進行風險識別及安全強化,可以協助您提升雲上資源和業務應用的安全治理效率。本文介紹如何使用Container ServiceACK的安全概覽功能。
使用說明
- 安全概覽功能僅支援ACK託管版叢集,目前處於邀測中。如需使用,請提交工單申請。
- 除了容器運行時風險,由於其他節點漏洞、容器鏡像風險、工作負載配置風險資料會有24小時延時,在初次授權開啟使用或風險修複完成後,需等待24小時,才可以在安全概覽頁面看到最新資料。
查看安全概覽
登入Container Service管理主控台,在左側導覽列選擇叢集。
在叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇叢集資訊。
- 在叢集資訊頁面,單擊安全概覽頁簽。安全概覽會展示兩個維度風險。下圖中紅框部分的資料表示從風險視角分析的結果,藍框部分的資料表示從資產視角分析的結果。例如,下圖節點漏洞中,從風險視角看,該叢集共出現5個高危風險,從資產視角看,該叢集共有2個節點池,該高危風險存在1個節點池中。
類別 說明 叢集安全風險 展示叢集整體安全狀態。 節點漏洞 展示節點漏洞風險,預設開啟。 容器鏡像風險 用於識別來自Container Registry企業版ACR EE上容器鏡像的安全風險,需授權後使用。 容器運行時風險 用於即時查看容器運行時風險並進行運行時即時防護。容器運行時風險雲端式資訊安全中心來做相關診斷,需購買Security Center的進階版及以上版本。更多資訊,請參見購買Security Center。 工作負載配置風險 幫您即時瞭解目前狀態下運行應用的配置是否有安全隱患,需開啟配置巡檢功能後使用。
叢集安全風險
叢集安全風險用於展示容器叢集的安全風險等級,具體定義如下。
- 健康
當節點漏洞無高危風險時,叢集中已開啟容器鏡像風險、容器運行時風險、工作負載配置風險掃描,且掃描結果無高危風險,則叢集安全風險等級為健康。
- 高危
當節點漏洞出現高危或者容器運行時出現高危時,叢集安全風險等級為高危。
- 中危
其他情況均為中危。
節點漏洞
節點漏洞檢查預設開啟。
在安全概覽頁面下方,單擊節點漏洞頁簽,查看節點漏洞列表,包含對應的節點池以及影響該節點池中的節點數,然後單擊修複即可跳轉至節點池詳情頁面進行漏洞修複。關於節點池CVE漏洞修複,請參見節點池CVE漏洞修複。
容器鏡像風險
在安全概覽頁面下方,單擊容器鏡像風險頁簽,查看容器鏡像風險清單項目,包含對應容器鏡像的地址、受影響容器、掃描時間等詳情,然後單擊修複即可跳轉至ACR EE對應的鏡像風險詳情頁面,查看風險詳情並修複。
容器運行時風險
容器運行時風險雲端式資訊安全中心來做相關診斷,您需要提前購買Security Center的進階版及以上版本。更多資訊,請參見購買Security Center。Security Center購買完成後,可即時查看容器運行時風險並進行運行時即時防護。
在安全概覽頁面下方,單擊容器運行時風險頁簽,查看容器運行時風險清單項目,包含對應的警示名稱、警示描述,然後單擊處理即可跳轉至安全監控頁面進行風險治理。
工作負載配置風險
您需要提前開啟配置巡檢功能。開啟配置巡檢後,會有24小時延時,才會顯示當前叢集下的工作負載配置情況及風險情況。具體操作,請參見啟用叢集Workload配置巡檢功能。
在安全概覽頁面下方,單擊工作負載配置風險頁簽,查看對應的風險徵兆以及對應的加固建議,然後單擊查看詳情即可跳轉至叢集的配置巡檢頁面進行風險修複。