为各种难题容器集群技术方面普及整个整个程中带来冲击的重新安全各种难题 ，中关村其它相关信息安全测评火箭队 活动发起编制《配图安全等级保护容器安全其它相关提出要求》 ，并于2023年7月1日起开展。该文件对构成容器集群的各个抽象结构其它相关提出要求了安全其它相关提出要求  ，再就 主要包括主要包括 ：

·管理品台：主要包括主要包括 集中管控、现实身份验证和授权机制、访问完全控制、审计和日志记录、安全配置等；

·计算节点：主要包括主要包括 节点的安全配置、漏洞修补、安全监控和日志记录、访问完全控制、策略迁移、恶意代码再次检查等；

·集群配图：主要包括主要包括 集群配图的隔离、安全通信、访问完全控制、异常流量分析及等；

·容器镜像：主要包括主要包括 镜像的安全验证、安全配置、现实身份验证、漏洞修补、访问完全控制等；

·镜像仓库：主要包括主要包括 镜像仓库的安全存储、安全验证、访问完全控制等；

·容器运行时：主要包括主要包括 运行时的安全配置、行为形成审计、访问完全控制和准入完全控制等；

·容器正常状态：主要包括主要包括 容器正常状态监控、行为形成审计、容器隔离、异常检测等。

那么的 安全其它相关提出要求从1到4级逐级显著提高  ，对云服务产品商、云安全服务产品商、云开展方等各种角色提供全面了容器集群的安全指导  ，能够帮助帮助活动和其它企业显著提高其容器生存环境的安全性  ，显著提高潜在风险。

山石网科既是到国内主流的云安全服务产品商  ，除此之外推出来云铠主机安全防护品台（下面简称山石云铠）。该品台基本框架CWPP框架体系  ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大程中出发  ，风格设计了资产梳理、微隔离、漏洞扫描、病毒查杀、行为形成规则、准入策略、入侵防护等其它相关功能  ，为容器集群提供全面可靠的安全防护各种难题方案。

容器流量可视、精细化管控和智能分析及

根据下面《配图安全等级保护容器安全其它相关提出要求》其它相关提出要求：

应实现基本框架 多普通用户场景下容器实例二者之间、容器与宿主机二者之间、容器与其它主机二者之二者之间配图访问完全控制；

应监测容器集群内异常流量 ，对异常流量拦截。

山石云铠需要支持基本框架容器配置细粒度微隔离策略  ，实现基本框架 容器实例二者之间、容器与宿主机二者之间、容器与其它配图二者之二者之间精细化配图流量访问完全控制 ，确保容器的通信仅限于授权和具体规定的流量。

其它其它  ，山石云铠开展机器自继续学习技术方面构建容器的配图安全基线  ，自动继续学习和分析及容器的流量。当偶然发现容器的异常流量后  ，山石云铠就能及时识别并开展阻断措施。但是  ，山石云铠提供全面安全透视镜其它相关功能  ，就能为安全管理人员直观的呈现容器集群的配图互访二者之间画像 ，能够帮助帮助安全管理人员快速聚焦违规流量  ，及时开展安全分析及和响应  ，并且使显著提高容器集群的安全性。

容器镜像的合规再次检查、漏洞扫描和病毒查杀

根据下面《配图安全等级保护容器安全其它相关提出要求》其它相关提出要求：

应确保容器镜像只开展安全的基本框架容器镜像  ，仅主要包括必要的免费软件包或组件 ，对不安全镜像开展告警  ，并实现基本框架 拦截；

除基本框架品台组件外 ，应禁止业务容器实例开展特权普通用户和特权模式一运行  ，开展特权普通用户运行容器行为形成开展告警并拦截；

应确保容器镜像修复超危、高危、中危及低危配图安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码 ，对危险容器镜像告警并阻止该镜像再加入容器仓库。

山石云铠遵循安全基线合规新标准  ，提供全面了对容器和镜像的合规性再次检查其它相关功能。它就能再次检查容器和镜像的配置文件、安全参数、组件正常状态、权限位置设置等多个更强大方面 ，以确保其符合安全基线合规其它相关提出要求  ，降低潜在的合规风险。

主要包括主要包括 合规性再次检查  ，山石云铠还需要支持容器和镜像的漏洞扫描和病毒查杀其它相关功能。开开展展漏洞扫描  ，山石云铠就能及时识别和报告容器和镜像中已知的漏洞  ，以便普通用户及时修复。其它其它 ，开展病毒查杀其它相关功能  ，它就能检测和清除容器和镜像中有潜在病毒文件 ，更有效预防黑客攻击。

容器运行的安全验证和准入完全控制

根据下面《配图安全等级保护容器安全其它相关提出要求》其它相关提出要求：

应在容器镜像创建或部署整个整个程中集成扫描其它相关功能  ，需要支持对Dockerfile和容器镜像的配图安全漏洞扫描  ，对不安全的镜像开展告警并阻断创建或部署流程。

山石云铠提供全面了灵活的准入完全控制其它相关功能  ，使安全管理人员就能根据下面容器/镜像的合规再次检查但是、Kubernetes应用标签、镜像漏洞扫描但是等多个因素自定义容器的准入策略。开展准入策略  ，山石云铠在容器运行时开开展展安全验证。就能容器不符合设定的安全其它相关提出要求 ，它就能自动开展告警或阻断容器的运行。那么就能防止不符合安全其它相关提出要求的容器快速进入运行正常状态 ，显著提高容器集群的安全风险。

容器实例的入侵防护和响应处置

根据下面《配图安全等级保护容器安全其它相关提出要求》其它相关提出要求：

应监测对管理品台和容器实例的攻击行为形成并拦截  ，主要包括主要包括 容器逃逸、普通用户提权；

应对失陷容器开展响应处置  ，主要包括主要包括 关闭或细粒度隔离容器。

山石云铠提供全面了更强多大入侵防御其它相关功能  ，内置的丰富入侵特征  ，就能检测到多种威胁  ，主要包括主要包括 web后门通过、反弹shell攻击、本地提权等常见攻击手法。主要包括主要包括 内置特征  ，山石云铠还需要支持根据下面特定的三个条件自定义入侵检测特征和规则 ，主要包括主要包括 基本框架命令行等特征三个条件。普通用户就能根据下面提高自身的不能潜在需求和生存环境特点  ，灵活定义入侵检测规则 ，不不能潜在需求多样化的入侵防护不能潜在需求。

事实上偶然发现的威胁  ，山石云铠需要支持自动告警 ，及时通知安全管理人员偶然发现的入侵事件。其它其它  ，山石云铠还就能停用其它相关进程或容器  ，更有效阻断攻击的并进一步扩散和造成影响。事实上风险容器  ，山石云铠还需要支持基本框架微隔离技术方面开展隔离  ，限制其开展他容器和运行系统的造成影响  ，显著提高总的来看安全性。

容器正常状态的安全监控和风险阻断

根据下面《配图安全等级保护容器安全其它相关提出要求》其它相关提出要求：

应审计容器实例事件  ，主要包括主要包括 进程、文件、配图等事件。

应监测容器实例运行整个整个程中有恶意代码上传、下载注册、横向传播行为形成并拦截。

山石云铠提供全面了自定义Kubernetes应用继续学习时长的其它相关功能  ，允许普通用户根据下面实际不能潜在需求位置设置继续学习时长。在继续学习之前  ，山石云铠会开展自动继续学习分析及应用来中进程、文件和配图行为形成  ，并生成其它相关的行为形成模型。安全管理人员就能快速将那么的 行为形成模型转化为行为形成规则  ，那么的 规则就能用于检测和识别不合规的行为形成 ，主要包括主要包括 异常文件操作通过或可疑配图通信等。偶然发现不合规行为形成后  ，山石云铠会自动开展告警、阻断或停用等连贯动作  ，以确保容器集群的安全性。

容器安全日志的备份

根据下面《配图安全等级保护容器安全其它相关提出要求》其它相关提出要求：

应实现基本框架 审计数据结果留存或备份  ，审计数据结果保存时间时应符合法律法规其它相关提出要求。

山石云铠需要支持与日志服务产品器联动 ，将品台的安全日志定期备份到日志服务产品器 ，不不能潜在需求安全数据结果保存时间时的不能潜在需求。

主要包括主要包括 为容器集群提供全面安全防护其它 ，山石云铠还需要支持为物理服务产品器、虚拟机等云工作中负载提供全面一站式的安全防护各种难题方案 ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的其它企业业务生存环境构建统一的安全防护体系！