云安全中心为容器安全提供检测和防御,构建基于云原生的容器安全防护。

目前,云安全中心的容器安全能力已完整覆盖容器生命周期中三大关键阶段,即容器构建时的镜像安全、容器部署时的安全配置(基线检查)和容器运行时的入侵检测和防御。阿里云容器服务也已深度集成云安全中心的防护能力。以下表格介绍了容器各生命周期对应的安全功能入口。
容器生命周期 对应功能 功能入口(左侧导航栏)
容器网络和资产可视化 容器网络可视化 总览(容器网络拓扑页签)
容器资产统一管理 资产中心(容器页签)
安全预防-镜像安全 镜像系统漏洞 安全预防 > 镜像安全扫描
镜像应用漏洞
镜像恶意样本扫描
镜像敏感信息检查
镜像基线检查
安全预防-供应链安全 开源供应软件漏洞扫描 安全预防 > 镜像安全扫描
容器签名 安全预防 > 容器签名
运行时威胁检测 安全告警处理 运行时威胁检测 > 安全告警处理
运行时漏洞修复 运行时威胁检测 > 运行时漏洞修复
运行时基线检查 运行时威胁检测 > 基线检查
攻击分析 运行时威胁检测 > 攻击分析
AK泄露检测 运行时威胁检测 > AK泄露检测

版本限制说明

仅旗舰版支持该功能,其他版本用户需要升级到旗舰版才可使用该功能。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配。各版本的功能详情,请参见功能特性

功能介绍

云安全中心为您提供以下功能,全面防护您的容器安全。
  • X:表示云安全中心不支持该特性。
  • √:表示云安全中心支持该特性。
  • 增值:表示您在购买云安全中心服务时需要额外选择的特性,或购买云安全中心后需要使用升级功能单独购买的特性。
功能模块 功能详情 基础版防病毒版高级版 企业版 旗舰版 相关文档
容器运行时刻威胁检测 为容器Kubernetes版提供运行时刻安全监控和告警,包括在容器中或在主机层面发生的病毒和恶意程序攻击、容器内部的入侵行为、容器逃逸和高风险操作预警等主要的容器侧攻击行为。 X X 使用运行时刻安全监控
支持容器风险项检测和告警。检测范围如下:
  • 恶意镜像启动

    对DockerHub等公开的镜像源进行实时监控,当含有后门或者挖矿行为的恶意镜像被安装到服务器时及时进行预警。

  • 病毒和恶意程序

    检测容器中是否存在病毒、木马、挖矿程序、恶意脚本以及Webshell。

  • 容器内部入侵行为

    检测是否存在黑客通过应用层漏洞成功入侵容器,以及在容器中进行后续渗透利用和横向传播的行为。

  • 容器逃逸

    检测是否存在黑客利用容器配置不当或者Docker、操作系统自身漏洞进行的容器逃逸攻击。

  • 高风险操作预警

    检测是否存在宿主机敏感目录挂载、Docker或者K8s API泄露、以及可疑的特权容器启动行为,避免攻击者轻易对这些风险点发起攻击。

X X 查看和处理告警事件
容器K8s威胁检测 实时检测正在运行的容器集群安全状态,帮助您及时发现容器中的安全隐患和黑客入侵行为。支持以下检测项:
  • K8s API Server执行异常指令
  • Pod异常目录挂载
  • K8s Service Account横向移动
  • 恶意镜像Pod启动
X X 容器K8s威胁检测
容器签名 支持对容器镜像的可信签名,确保只允许部署您认可的容器镜像,防止未经签名授权的镜像启动,从根本上帮助您提升资产的安全性。目前,仅部署在中国香港的Kubernetes集群支持容器签名。 X X 容器签名
镜像安全扫描 支持检测以下类型的镜像漏洞、基线安全和恶意样本:
  • 镜像系统漏洞

    提供镜像系统漏洞扫描功能,为您提供安全可信的镜像。

  • 镜像应用漏洞

    提供镜像应用漏洞扫描功能,为您扫描容器相关中间件上的漏洞并提供修复建议,为您创造安全的镜像运行环境。

  • 镜像基线检查

    提供镜像安全基线检查功能,为您扫描容器资产中存在的基线安全风险,并提供修复建议。

  • 镜像恶意样本

    提供容器恶意样本的检测能力,为您展示资产中存在的容器安全威胁,大幅降低您使用容器的安全风险。

说明 目前仅支持一键修复镜像系统漏洞。镜像应用漏洞、镜像基线检查和镜像恶意样本仅支持检测,暂时不提供一键修复的功能。如果您的容器镜像中检测到了镜像应用漏洞、镜像基线检查和镜像恶意样本漏洞,请您根据云安全中心提供的漏洞修复方案或恶意样本路径信息加固镜像。
X 增值 增值 镜像安全扫描概述
容器配置安全 针对容器的配置提供安全检测和告警,基于阿里云容器最佳安全实践对Kubernetes Master和Node节点针对容器基线配置提供风险检查。检测范围如下:
  • 阿里云标准-Docker安全基线检查

    基于阿里云最佳实践安全实践的Docker基线标准,从Docker的安全审计、服务配置和文件权限等方面进行风险排查和及时预警。

  • 阿里云标准-Kubernetes-Master安全基线检查

    基于阿里云容器最佳安全实践的Kubernetes Master节点的基线检查。

  • 阿里云标准-Kubernetes-Node安全基线检查

    基于阿里云容器最佳安全实践的Kubernetes Node节点的基线检查。

X X 基线检查概述
容器资产管理 支持展示所有容器相关资产的统计数据和风险状态。 查看容器安全状态
容器网络拓扑 容器网络拓扑功能从集群、容器、镜像、应用等资产维度为您提供安全可视化的管控能力和云上容器资产的网络拓扑,提升您管理容器资产安全的效率。使用该功能您可以轻松掌控容器资产的安全状态,并了解容器资产间的网络连接情况。 X X 容器网络拓扑

相关文档

容器网络拓扑

查看容器安全状态

容器K8s威胁检测

查看镜像安全扫描结果

使用运行时刻安全监控

旗舰版功能入口说明