云安全中心为容器安全提供检测和防御,构建基于云原生的容器安全防护。
目前,云安全中心的容器安全能力已完整覆盖容器生命周期中三大关键阶段,即容器构建时的镜像安全、容器部署时的安全配置(基线检查)和容器运行时的入侵检测和防御。阿里云容器服务也已深度集成云安全中心的防护能力。以下表格介绍了容器各生命周期对应的安全功能入口。
| 容器生命周期 | 对应功能 | 功能入口(左侧导航栏) |
|---|---|---|
| 容器网络和资产可视化 | 容器网络可视化 | 总览(容器网络拓扑页签) |
| 容器资产统一管理 | 资产中心(容器页签) | |
| 安全预防-镜像安全 | 镜像系统漏洞 | |
| 镜像应用漏洞 | ||
| 镜像恶意样本扫描 | ||
| 镜像敏感信息检查 | ||
| 镜像基线检查 | ||
| 安全预防-供应链安全 | 开源供应软件漏洞扫描 | |
| 容器签名 | ||
| 运行时威胁检测 | 安全告警处理 | |
| 运行时漏洞修复 | ||
| 运行时基线检查 | ||
| 攻击分析 | ||
| AK泄露检测 |
版本限制说明
仅旗舰版支持该功能,其他版本用户需要升级到旗舰版才可使用该功能。购买和升级云安全中心服务的具体操作,请参见购买云安全中心和升级与降配。各版本的功能详情,请参见功能特性。
功能介绍
云安全中心为您提供以下功能,全面防护您的容器安全。
- X:表示云安全中心不支持该特性。
- √:表示云安全中心支持该特性。
- 增值:表示您在购买云安全中心服务时需要额外选择的特性,或购买云安全中心后需要使用升级功能单独购买的特性。
| 功能模块 | 功能详情 | 免费版、防病毒版 | 高级版 | 企业版 | 旗舰版 | 相关文档 |
|---|---|---|---|---|---|---|
| 容器运行时刻威胁检测 | 为容器Kubernetes版提供运行时刻安全监控和告警,包括在容器中或在主机层面发生的病毒和恶意程序攻击、容器内部的入侵行为、容器逃逸和高风险操作预警等主要的容器侧攻击行为。 | X | X | X | √ | 使用运行时刻安全监控 |
支持容器风险项检测和告警。检测范围如下:
|
X | X | X | √ | 查看和处理告警事件 | |
| 容器K8s威胁检测 | 实时检测正在运行的容器集群安全状态,帮助您及时发现容器中的安全隐患和黑客入侵行为。支持以下检测项:
|
X | X | X | √ | 容器K8s威胁检测 |
| 容器签名 | 支持对容器镜像的可信签名,确保只允许部署您认可的容器镜像,防止未经签名授权的镜像启动,从根本上帮助您提升资产的安全性。目前,仅部署在中国香港的Kubernetes集群支持容器签名。 | X | X | X | √ | 容器签名 |
| 镜像安全扫描 | 支持检测以下类型的镜像漏洞、基线安全和恶意样本:
说明 目前仅支持一键修复镜像系统漏洞。镜像应用漏洞、镜像基线检查和镜像恶意样本仅支持检测,暂时不提供一键修复的功能。如果您的容器镜像中检测到了镜像应用漏洞、镜像基线检查和镜像恶意样本漏洞,请您根据云安全中心提供的漏洞修复方案或恶意样本路径信息加固镜像。
|
X | 增值 | 增值 | 增值 | 镜像安全扫描概述 |
| 容器配置安全 | 针对容器的配置提供安全检测和告警,基于阿里云容器最佳安全实践对Kubernetes Master和Node节点针对容器基线配置提供风险检查。检测范围如下:
|
X | X | X | √ | 基线检查概述 |
| 容器资产管理 | 支持展示所有容器相关资产的统计数据和风险状态。 | √ | √ | √ | √ | 查看容器安全状态 |
| 容器网络拓扑 | 容器网络拓扑功能从集群、容器、镜像、应用等资产维度为您提供安全可视化的管控能力和云上容器资产的网络拓扑,提升您管理容器资产安全的效率。使用该功能您可以轻松掌控容器资产的安全状态,并了解容器资产间的网络连接情况。 | X | X | X | √ | 容器网络拓扑 |