全部產品
Search

搜尋本產品

    Security Center:容器防護常見問題

    文件中心

    Security Center:容器防護常見問題

    更新時間:Jun 07, 2025

    本文匯總了容器防護的常見問題。

    目前我使用的是Security Center的企業版,是否能使用容器微隔離功能?

    不可以。僅Security Center的旗艦版支援該功能,其他版本不支援。

    使用容器微隔離功能是否需要額外付費?

    不需要。開通了Security Center旗艦版後,即可直接使用容器微隔離功能。

    如果升級到了Security Center旗艦版,是否就只能保護容器,而無法保護ECS了?

    不會。Security Center旗艦版會同時防護容器和ECS。

    Security Center提供了哪些容器鏡像檢測機制,保證容器啟動並執行安全性

    阿里雲Security Center藉助雲原生優勢,針對容器鏡像提供以下檢測機制,以降低容器入侵和篡改等風險。

    鏡像安全

    • 接入Security Center鏡像(鏡像安全掃描)

      對已接入Security Center的Container RegistryACR的企業版第三方鏡像倉庫Harbor和Quay的鏡像提供了全面的安全檢測和管理能力協助您發現鏡像中存在的高危系統漏洞、應用漏洞、惡意樣本、基準配置風險、敏感檔案和鏡像構建指令風險;針對鏡像的系統漏洞提供了漏洞修複方案,以便您及時解決安全隱患。

      詳細內容,請參見鏡像安全掃描

    • 未接入Security Center鏡像(CI/CD外掛程式整合)

      只需要將CI/CD外掛程式(即Security Center鏡像安全掃描外掛程式)與Jenkins工具或GitHub整合,可以在Jenkins或GitHub的專案構建階段,同時觸發鏡像安全掃描任務,發現鏡像中存在的高危系統漏洞、應用漏洞、惡意病毒、Webshell、惡意執行指令碼、基準配置風險以及對敏感性資料進行檢測和識別,並提供漏洞修複建議,協助您更便捷地檢測出鏡像中存在的安全風險。

      詳細內容,請參見CI/CD接入配置

    • 鏡像啟動攔截(風險鏡像阻斷)

      建立風險鏡像阻斷規則後,在指定叢集內使用鏡像建立資源時,Security Center會對鏡像進行安全校正,對命中風險鏡像阻斷規則(互連網惡意鏡像、未掃描鏡像、惡意樣本、基準、漏洞、敏感檔案、構建指令風險)的鏡像執行攔截、警示或允許存取動作,確保叢集內啟動的鏡像符合您的安全要求。

      您可以在容器資產頁面的倉庫鏡像頁簽,根據鏡像ID或標籤搜尋查看目標鏡像的風險,然後根據風險詳情和修複建議處理相關漏洞和風險。

      詳細內容,請參見風險鏡像阻斷

    容器安全

    • 容器運行時鏡像掃描

      檢測容器運行時是否存在安全風險項,包括系統漏洞應用漏洞基準檢查惡意樣本敏感檔案針對容器鏡像系統漏洞提供了漏洞修複方案,以便您及時解決安全隱患。

      詳細內容,請參見容器運行時鏡像掃描

    • 配置容器主動防禦規則

      從容器自身安全、運行時安全、運行環境安全多維度主動式偵測容器啟動或運行時存在的安全風險。通過配置相應規則,您可以停止不可信進程和阻斷容器逃逸行為,提升整體容器運行環境的安全水位。

      • 非鏡像程式防禦

        在容器運行期間來源於鏡像外的程式啟動屬於異常行為,該行為很可能是駭客植入木馬等惡意軟體。

        建立非鏡像程式防禦規則後,Security Center可檢測並攔截鏡像外的程式啟動,主動防禦惡意軟體的入侵,協助您防禦已知或未知的攻擊模式。

      • 容器防逃逸

        容器與宿主伺服器共用作業系統核心時,攻擊者可利用容器漏洞提升許可權實現對宿主伺服器系統或其他容器的存取控制,影響整個系統安全性。通過配置容器防逃逸規則可以有效阻斷逃逸行為,保障容器運行時安全。

      詳細內容,請參見容器主動防禦

    • 配置容器檔案防禦規則

      即時監控容器內目錄或檔案,並在容器內目錄或檔案,被惡意篡改時產生警示或攔截篡改行為,保障容器環境正常運行。

      詳細內容,請參見容器檔案防禦

    • 攔截容器異常訪問

      通過將容器中應用的命名空間、應用程式名稱、鏡像以及標籤等資訊整合為網路對象,在兩個網路對象之間建立訪問流量的防禦規則,實現源網路對象訪問目的網路對象的流量管控。當駭客利用漏洞或惡意鏡像入侵容器叢集時,容器微隔離會對容器的異常行為進行警示或攔截。

      詳細內容,請參見容器微隔離

    • 部署可信容器

      實現對容器鏡像的可信簽名,確保只部署可信授權方簽名的容器鏡像,防止未經簽名授權的鏡像啟動,從根本上協助您提升資產的安全性。

      詳細內容,請參見容器簽名

    • 檢測容器基準配置

      針對容器的配置提供安全檢測和警示,基於阿里雲容器最佳安全實踐對Kubernetes Master和Node節點,針對容器基準配置提供風險檢查。

      詳細內容,請參見基準風險檢查

    容器所在的主機安全

    主機安全防護的詳細內容,請參見Security Center的主機防護特性

    如何通過容器微隔離管控容器環境內的業務流量?

    Security Center旗艦版服務提供容器微隔離功能。容器微隔離通過將叢集中應用的命名空間、應用程式名稱、容器鏡像以及標籤資訊整合為網路對象,作為區別容器應用的標識,然後基於網路對象為容器應用建立網路訪問的防禦規則,檢測並攔截、警示異常的訪問流量,實現容器環境內的網路隔離

    重要

    • 叢集防禦規則的正常運行依賴於AliNet外掛程式(AliNet外掛程式主要用於網路連接攔截、DNS攔截、暴力破解攔截等),使用容器微隔離功能之前請確保您的叢集節點的系統核心版本在AliNet外掛程式支援的部分系統核心版本範圍內。否則,叢集防禦規則會無法生效。容器微隔離功能支援的系統核心版本,請參見支援的作業系統版本

    • 使用Security Center的容器微隔離服務,需要開啟惡意網路行為防禦功能。詳細說明,請參見主動防禦

    1. 執行以下操作,為已接入Security Center的容器叢集,配置並啟用防禦規則。

      1. 新增源網路對象和目的網路對象

      2. 建立並開啟防禦規則

      3. 開啟叢集防禦

        叢集防禦的可攔截狀態為正常時,該叢集的防禦狀態才能開啟,啟用的防禦規則才會生效。如果叢集防禦規則的可攔截狀態異常,需要先處理該異常狀態,請參見叢集防禦規則可攔截狀態異常排查

    2. 對於已接入Security Center的容器叢集,出現訪問流量時,開始按照容器微隔離中防禦規則的優先順序進行檢測,攔截或警示異常訪問流量。如果命中防禦規則的動作為通過,或未命中任何防禦規則,容器微隔離會直接允許存取當前訪問。

      警示或攔截的防禦動作會產生警示事件,具體內容,請參見查看防護狀態