为需要最终解决 容器集群技术方面普及时间时间当中生活带 的重新安全需要需要最终解决  ，中关村信息内容安全测评控卫中活动发起编制《图片安全等级保护容器安全相关方面提出要求》  ，并于2023年7月1日起利用设备。该文件对构成容器集群的各个抽象结构相关方面提出要求了安全相关方面提出要求  ，自身能力当然：

·管理平台合作 ：当然集中管控、身分验证和授权机制、访问全面控制、审计和日志记录、安全配置等；

·计算节点：当然节点的安全配置、漏洞修补、安全监控和日志记录、访问全面控制、策略迁移、恶意代码检査等；

·集群图片：当然集群图片的隔离、安全通信、访问全面控制、异常流量详细分析等；

·容器镜像：当然镜像的安全验证、安全配置、身分验证、漏洞修补、访问全面控制等；

·镜像仓库：当然镜像仓库的安全存储、安全验证、访问全面控制等；

·容器运行时：当然运行时的安全配置、行为特别规定 审计、访问全面控制和准入全面控制等；

·容器正常状态：当然容器正常状态监控、行为特别规定 审计、容器隔离、异常检测等。

这个安全相关方面提出要求从1到4级逐级得到提高  ，对云服务提供商、云安全服务提供商、云利用设备方等人物角色提供全面了容器集群的安全指导 ，去帮助活动和民营企业得到提高其容器坏境的安全性 ，得到提高潜在风险。

山石网科之一海外 主流的云安全服务提供商  ，全重新推出 了云铠主机安全防护平台合作 （下述简称山石云铠）。该平台合作 概念基础CWPP框架体系  ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大当中出发  ，细节设计了资产梳理、微隔离、漏洞扫描、病毒查杀、行为特别规定 规则、准入策略、入侵防护等多种功能  ，为容器集群提供全面可靠的安全防护需要最终解决 方案。

容器流量可视、精细化管控和智能详细分析

根据下述《图片安全等级保护容器安全相关方面提出要求》相关方面提出要求：

应能实现多导致用户场景下容器实例密切关系 、容器与宿主机密切关系 、容器与当然主机密切关系 的图片访问全面控制；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠全部支持概念基础容器配置细粒度微隔离策略 ，能实现容器实例密切关系 、容器与宿主机密切关系 、容器与当然图片密切关系 的精细化图片流量访问全面控制  ，确保容器的通信仅限于授权和特别规定的流量。

之一  ，山石云铠利用设备机器自认真学习技术方面构建容器的图片安全基线  ，自动认真学习和详细分析容器的流量。当偶然发现容器的异常流量后 ，山石云铠可以可之一时识别并利用设备阻断措施。因为  ，山石云铠提供全面安全透视镜多种功能 ，可以可以为安全管理人员直观的呈现容器集群的图片互访密切关系 画像  ，去帮助安全管理人员快速聚焦违规流量 ，及时利用设备安全详细分析和响应 ，并且并且使到提高容器集群的安全性。

容器镜像的合规检査、漏洞扫描和病毒查杀

根据下述《图片安全等级保护容器安全相关方面提出要求》相关方面提出要求：

应确保容器镜像只利用设备安全的概念基础容器镜像  ，仅包含必要的工具软件包或组件 ，对不安全镜像利用设备告警  ，并且使实现拦截；

除概念基础平台合作 组件外  ，应禁止业务容器实例利用设备特权导致用户和特权运行模式运行  ，利用设备特权导致用户运行容器行为特别规定 利用设备告警并拦截；

应确保容器镜像修复超危、高危、中危及低危图片安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像中途加入容器仓库。

山石云铠遵循安全基线合规基础标准  ，提供全面了对容器和镜像的合规性检査多种功能 。它可以可以检査容器和镜像的配置文件、安全参数、组件正常状态、权限加设等多个能力强大方面 ，以确保其符合安全基线合规相关方面提出要求  ，大幅减少潜在的合规风险。

当然合规性检査 ，山石云铠还全部支持容器和镜像的漏洞扫描和病毒查杀多种功能 。利用设备利用设备漏洞扫描 ，山石云铠可以可之一时识别和报告容器和镜像中已知的漏洞  ，以便导致用户及时修复。之一  ，利用设备病毒查杀多种功能 ，它可以可以检测和清除容器和镜像之中潜在病毒文件 ，更有效预防黑客攻击。

容器运行的安全验证和准入全面控制

根据下述《图片安全等级保护容器安全相关方面提出要求》相关方面提出要求：

应在容器镜像创建或部署时间时间当中集成扫描多种功能 ，全部支持对Dockerfile和容器镜像的图片安全漏洞扫描  ，对不安全的镜像利用设备告警并阻断创建或部署流程。

山石云铠提供全面了灵活的准入全面控制多种功能  ，使安全管理人员可以根据下述下述容器/镜像的合规检査因为 、Kubernetes应用标签、镜像漏洞扫描因为 等多个因素自定义容器的准入策略。利用设备准入策略  ，山石云铠在容器运行时利用设备利用设备安全验证。可以可以容器不符合设定的安全相关方面提出要求  ，它可以可以自动利用设备告警或阻断容器的运行。那么可以可以防止不符合安全相关方面提出要求的容器正式进入运行正常状态  ，得到提高容器集群的安全风险。

容器实例的入侵防护和响应处置

根据下述《图片安全等级保护容器安全相关方面提出要求》相关方面提出要求：

应监测对管理平台合作 和容器实例的攻击行为特别规定 并拦截  ，当然容器逃逸、导致用户提权；

应对失陷容器利用设备响应处置  ，当然关闭或细粒度隔离容器。

山石云铠提供全面了能力强大强不小 入侵防御多种功能 ，内置的丰富入侵特征  ，可以可以检测到多种威胁 ，当然web后门利用设备、反弹shell攻击、本地提权等常见攻击手法。当然内置特征  ，山石云铠还全部支持根据下述特定的外部条件自定义入侵检测特征和规则 ，当然概念基础命令行等特征外部条件。导致用户可以根据下述下述自身能力的可以满足和坏境特点 ，灵活定义入侵检测规则  ，可以满足多样化的入侵防护可以满足。

事实上偶然发现的威胁  ，山石云铠全部支持自动告警  ，及时通知安全管理人员偶然发现的入侵事件。之一  ，山石云铠还可以可以停用相关方面进程或容器 ，更有效阻断攻击的有待扩散和生活带 影响。事实上风险容器  ，山石云铠还全部支持概念基础微隔离技术方面利用设备隔离  ，限制其利用设备他容器和管理系统的生活带 影响  ，得到提高整体表现安全性。

容器正常状态的安全监控和风险阻断

根据下述《图片安全等级保护容器安全相关方面提出要求》相关方面提出要求：

应审计容器实例事件  ，当然进程、文件、图片等事件。

应监测容器实例运行时间当中之中恶意代码上传、下载安装、横向传播行为特别规定 并拦截。

山石云铠提供全面了自定义Kubernetes应用认真学习时长的多种功能  ，允许导致用户根据下述实际可以满足加设认真学习时长。在认真学习两个月  ，山石云铠会利用设备自动认真学习详细分析应所用时进程、文件和图片行为特别规定  ，并生成相关方面的行为特别规定 模型。安全管理人员可以可以快速将这个行为特别规定 模型转化为行为特别规定 规则 ，这个规则可以可以用于检测和识别不合规的行为特别规定 ，当然异常文件所有操作或可疑图片通信等。偶然发现不合规行为特别规定 后  ，山石云铠会自动利用设备告警、阻断或停用等动作细节  ，以确保容器集群的安全性。

容器安全日志的备份

根据下述《图片安全等级保护容器安全相关方面提出要求》相关方面提出要求：

应能实现审计数据全面留存或备份  ，审计数据全面保存时间不应符合法律法规相关方面提出要求。

山石云铠全部支持与日志服务提供器联动  ，将平台合作 的安全日志定期备份到日志服务提供器  ，可以满足安全数据全面保存时间不的可以满足。

当然为容器集群提供全面安全防护当然 ，山石云铠还全部支持为物理服务提供器、虚拟机等云工作任务负载提供全面一站式的安全防护需要最终解决 方案  ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的民营企业业务坏境构建统一的安全防护体系！