云安全中心为容器安全提供检测和防御,构建基于云原生的容器安全防护。

目前,云安全中心的容器安全能力已完整覆盖容器生命周期中三大关键阶段,即容器构建时的镜像安全、容器部署时的安全配置(基线检查)和容器运行时的入侵检测和防御。阿里云容器服务也已深度集成云安全中心的防护能力。
说明 仅云安全中心企业版提供容器安全的能力。

功能介绍

云安全中心为您提供以下功能,全面防护您的容器安全。
  • X:表示云安全中心该版本不支持此特性。
  • √:表示云安全中心该版本支持此特性。
功能模块 功能详情 基础版 基础杀毒版 高级版 企业版 相关文档
容器运行时刻威胁检测 为容器Kubernetes版提供运行时刻安全监控和告警,包括在容器中或在主机层面发生的病毒和恶意程序攻击、容器内部的入侵行为、容器逃逸和高风险操作预警等主要的容器侧攻击行为。 X X X 使用运行时刻安全监控
支持容器风险项检测和告警。检测范围如下:
  • 恶意镜像启动

    对DockerHub等公开的镜像源进行实时监控,当含有后门或者挖矿行为的恶意镜像被安装到服务器时及时进行预警。

  • 病毒和恶意程序

    检测容器中是否存在病毒、木马、挖矿程序、恶意脚本以及Webshell。

  • 容器内部入侵行为

    检测是否存在黑客通过应用层漏洞成功入侵容器,以及在容器中进行后续渗透利用和横向传播的行为。

  • 容器逃逸

    检测是否存在黑客利用容器配置不当或者Docker、操作系统自身漏洞进行的容器逃逸攻击。

  • 高风险操作预警

    检测是否存在宿主机敏感目录挂载、Docker或者K8s API泄露、以及可疑的特权容器启动行为,避免攻击者轻易对这些风险点发起攻击。

X X X 查看和处理告警事件
容器K8s威胁检测 实时检测正在运行的容器集群安全状态,帮助您及时发现容器中的安全隐患和黑客入侵行为。支持以下检测项:
  • K8s API Server执行异常指令
  • Pod异常目录挂载
  • K8s Service Account横向移动
  • 恶意镜像Pod启动
X X X 容器K8s威胁检测
镜像签名 支持对容器镜像的可信签名,确保只允许部署您认可的容器镜像,防止未经签名授权的镜像启动,从根本上帮助您提升资产的安全性。目前,仅部署在中国香港的Kubernetes集群支持镜像签名。 X X X 容器签名
容器镜像安全检测 【镜像漏洞扫描(公测中)】
提供容器镜像漏洞扫描功能,为您提供安全可信的镜像。
说明 目前云安全中心仅支持检测容器镜像漏洞,暂时不提供漏洞一键修复的功能。如果您的容器镜像中检测到了漏洞,请您根据云安全中心提供的漏洞修复方案加固镜像。
X X X 镜像安全扫描
镜像应用漏洞 提供镜像应用漏洞扫描功能,为您扫描容器相关中间件上的漏洞并提供修复建议,为您创造安全的镜像运行环境。 X X X
镜像恶意样本 镜像安全扫描功能可以检测容器恶意样本,为您展示资产中存在的容器安全威胁,大幅降低您使用容器的安全风险。 X X X
容器配置安全 针对容器的配置提供安全检测和告警,基于阿里云容器最佳安全实践对Kubernetes Master和Node节点针对容器基线配置提供风险检查。检测范围如下:
  • 阿里云标准-Docker安全基线检查

    基于阿里云最佳实践安全实践的Docker基线标准,从Docker的安全审计、服务配置和文件权限等方面进行风险排查和及时预警。

  • 阿里云标准-Kubernetes-Master安全基线检查

    基于阿里云容器最佳安全实践的Kubernetes Master节点的基线检查。

  • 阿里云标准-Kubernetes-Node安全基线检查

    基于阿里云容器最佳安全实践的Kubernetes Node节点的基线检查。

X X X 基线检查概述
容器安全状态可视化 支持实时检测容器的安全状态,并在资产中心页面展示。 X X X 查看容器安全状态

相关文档

查看容器安全状态

容器K8s威胁检测

镜像安全扫描

使用运行时刻安全监控