容器安全服务，保障容器全生命周期安全

随着云计算的发展，以容器和微服务为代表的云原生技术，正在加速推进企业数字化转型进程，其中Docker和Kubernetes是企业容器运行时和容器编排的首要选择。然而，在应用容器和K8S过程中，大多数企业都遇到过不同程度的安全问题，如何保障容器安全，已成为企业最关心的问题。

华为云容器安全服务（Container Guard Service，CGS）能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

知识点扩展

• 镜像：

镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据，其内容在构建之后也不会被改变。

• 容器：

容器是镜像的实例，容器可以被创建、启动、停止、删除、暂停等。

• 二者关系：

一个镜像可以启动多个容器。

应用可以包含一个或一组容器。

三大功能特性，守护容器安全

容器镜像安全

容器镜像安全功能可以扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。

容器安全策略

通过配置安全策略，帮助企业制定容器进程白名单和文件保护列表，确保容器以最小权限运行，从而提高系统和应用的安全性。

容器运行时安全

容器运行时安全功能实时监控节点中容器运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。

五大产品优势，高效管理容器

统一安全管理

统一管理CCE集群中所有节点上运行的容器与镜像的安全状态。

丰富漏洞库

漏洞库包含丰富的100000+漏洞，能够有效检测容器镜像漏洞。

容器防逃逸

内置10大类，100小类容器逃逸行为规则，有效检测容器逃逸。

轻量Agent

客户端以容器方式运行，CPU和内存占用率低，不影响其他容器运行。

满足等保安全合规

满足等保安全合规入侵防范条款和恶意代码防范条款。

满足多场景应用，为用户保驾护航

容器镜像安全

• 仓库镜像安全管理

容器安全服务与镜像仓库配合，为镜像仓库中的镜像提供漏洞扫描，恶意文件扫描，基线检查等能力。

• 运行镜像漏洞管理

容器安全服务扫描节点中所有正在运行的容器镜像，发现镜像中的漏洞并给出修复建议。

• 官方镜像漏洞扫描

对Docker官方镜像进行定时漏洞扫描，帮助用户在制作镜像前进行漏洞修复。

容器运行时安全

• 恶意程序检测

通过恶意程序库，有效检测挖矿、勒索、木马等恶意程序。

• 容器防逃逸

有效检测shocker攻击、进程提权、DirtyCow和文件暴力破解等逃逸行为。

• 进程白名单

有效组织异常进程、提权攻击、违规操作等安全风险事件的发生。

• 文件只读保护

将关键文件目录设为只读，保护容器内部的关键文件，避免被修改。

注：本文参考素材来自华为云官网