文档

容器资产管理

更新时间:

云安全中心具备针对容器安全的一体化防护能力,支持针对容器的漏洞、配置合规、攻击入侵等行为进行实时的检测和防御。将容器资产接入云安全中心后,您可以通过云安全中心统一管理容器资产。本文介绍如何查看容器资产中存在的安全风险。

版本限制

仅云安全中心的旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

前提条件

同步最新资产

查看容器资产信息前,您需要先同步最新的容器资产信息,确保将新接入的容器资产同步到云安全中心资产列表。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 容器资产

  3. 容器资产页面的集群镜像页签,单击同步最新资产

  4. (可选)在容器资产页面右上角,单击任务管理。在任务管理面板的容器资产同步镜像资产同步页签,查看资产同步进展、状态、详情等信息。

集群管理

查看集群信息

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 容器资产

  3. 容器资产页面的集群页签,查看已接入的集群数、存在风险的集群数和已接入的集群列表。

    image..png
    • 搜索目标集群

      您可以使用集群列表上方提供的搜索组件,通过集群ID、集群类型等信息查找目标集群。

    • 查看目标集群风险详情

      单击目标集群名称或操作列的查看,进入该集群的风险详情页面,可查看当前集群内的安全告警、漏洞风险、基线风险和容器防火墙告警的统计数据和相应风险的列表信息。

集群暴露分析

如果您将容器端口暴露在公网上,可能会对您的业务造成网络攻击、数据泄露等安全风险。为预防此类安全风险,云安全中心提供容器集群的端口暴露分析功能,用于检测容器集群的公网端口信息。

说明

目前仅托管版与专有版容器集群ACK支持暴露分析功能。

  1. 执行暴露分析。

    集群暴露分析支持自动执行和手动执行方式:

    • 自动执行暴露分析:接入K8s集群后,云安全中心默认每日凌晨自动全量同步集群信息,并且自动对所有已接入集群执行暴露分析。

    • 手动执行暴露分析容器资产页面的集群页签,单击目标集群操作列的暴露分析

      image..png
  2. (可选)在容器资产页面右上角,单击任务管理。在任务管理面板的容器暴露页签,查看集群暴露分析任务进展和详情。

  3. 查看集群暴露分析结果。

    1. 容器资产页面,单击目前集群名称。

    2. 在集群详情页面,选择类型为容器,并设置过滤条件是否暴露

      image..png
    3. 移动鼠标到容器是否暴露image..png图标,查看该容器集群暴露的端口信息。

      如果您的容器集群暴露公网的端口无需使用,建议您及时关闭端口,减少安全风险。

镜像管理

查看镜像信息

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 容器资产

  3. 容器资产页面的镜像页签,查看镜像的相关信息。

    image..png
    • 查看总览信息

      在页面上方的总览区域,您可以查看存在风险的镜像数量、镜像安全扫描的剩余授权数等信息。

      • 剩余授权数区域单击增加授权,可增加镜像安全扫描授权数。具体操作,请参加升级与降配

      • 三方镜像仓接入区域单击接入可接入私有镜像仓,具体操作。请参见接入镜像仓库

    • 查看镜像仓列表

      镜像仓列表中展示了所有已接入资产中心的镜像仓。您可在镜像仓列表中查看镜像仓的名称、所在地域、镜像仓的类型以及风险状态等信息。

      • 搜索目标镜像仓

        您可使用镜像仓列表上方提供的搜索组件,通过镜像仓的实例ID、命名空间等信息查找目标镜像仓。

      • 查看目标镜像仓

        单击目标镜像仓的名称或者操作列的查看,进入该镜像仓的详情页面,可以查看该镜像仓中的所有镜像的镜像仓名称、版本、大小、风险状态等信息。

      • 同步ACR资产

        针对阿里云容器镜像服务ACR(Alibaba Cloud Container Registry)企业版,您可以单击目标镜像仓操作列的同步,开启ACR资产自动同步。开启后,在ACR新增的资产将自动更新至云安全中心镜像资产列表。

扫描容器镜像

云安全中心的镜像扫描功能,可以帮助您检测镜像是否存在镜像漏洞、基线风险、恶意样本和敏感文件,为您创造安全的镜像运行环境。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 容器资产

  3. 容器资产页面的镜像页签,单击容器镜像扫描区域的立即扫描

    image..png
  4. 一键扫描对话框,选择需要扫描的镜像类型,按需配置扫描范围,然后单击确定

    配置扫描范围的具体操作,请参见执行镜像安全扫描

  5. (可选)在容器资产页面右上角,单击任务管理。在任务管理面板的镜像扫描镜像修复容器运行时镜像扫描页签,查看镜像扫描和镜像修复信息。

相关文档

容器资产全景

容器防护设置

容器签名

查看镜像安全扫描结果

使用安全监控

  • 本页导读 (1)
文档反馈