云安全中心具備針對容器安全的一體化防護能力,支持針對容器的漏洞、配置合規、攻擊入侵等行為進行實時的檢測和防御。將容器資產接入云安全中心后,您可以通過云安全中心統一管理容器資產。本文介紹如何查看容器資產中存在的安全風險。
版本限制
前提條件
同步最新資產
查看容器資產信息前,您需要先同步最新的容器資產信息,確保將新接入的容器資產同步到云安全中心資產列表。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇 。
在容器資產頁面的集群或鏡像頁簽,單擊同步最新資產。
(可選)在容器資產頁面右上角,單擊任務管理。在任務管理面板的容器資產同步和鏡像資產同步頁簽,查看資產同步進展、狀態、詳情等信息。
集群管理
查看集群信息
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇 。
在容器資產頁面的集群頁簽,查看已接入的集群數、存在風險的集群數和已接入的集群列表。
搜索目標集群
您可以使用集群列表上方提供的搜索組件,通過集群ID、集群類型等信息查找目標集群。
查看目標集群風險詳情
單擊目標集群名稱或操作列的查看,進入該集群的風險詳情頁面,可查看當前集群內的安全告警、漏洞風險、基線風險和容器防火墻告警的統計數據和相應風險的列表信息。
集群暴露分析
如果您將容器端口暴露在公網上,可能會對您的業務造成網絡攻擊、數據泄露等安全風險。為預防此類安全風險,云安全中心提供容器集群的端口暴露分析功能,用于檢測容器集群的公網端口信息。
目前僅托管版與專有版容器集群ACK支持暴露分析功能。
執行暴露分析。
集群暴露分析支持自動執行和手動執行方式:
自動執行暴露分析:接入K8s集群后,云安全中心默認每日凌晨自動全量同步集群信息,并且自動對所有已接入集群執行暴露分析。
手動執行暴露分析:在容器資產頁面的集群頁簽,單擊目標集群操作列的暴露分析。
(可選)在容器資產頁面右上角,單擊任務管理。在任務管理面板的容器暴露頁簽,查看集群暴露分析任務進展和詳情。
查看集群暴露分析結果。
在容器資產頁面,單擊目前集群名稱。
在集群詳情頁面,選擇類型為容器,并設置過濾條件是否暴露為是。
移動鼠標到容器是否暴露列的圖標,查看該容器集群暴露的端口信息。
如果您的容器集群暴露公網的端口無需使用,建議您及時關閉端口,減少安全風險。
鏡像管理
查看鏡像信息
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇 。
在容器資產頁面的鏡像頁簽,查看鏡像的相關信息。
查看總覽信息
在頁面上方的總覽區域,您可以查看存在風險的鏡像數量、鏡像安全掃描的剩余授權數等信息。
查看鏡像倉列表
鏡像倉列表中展示了所有已接入資產中心的鏡像倉。您可在鏡像倉列表中查看鏡像倉的名稱、所在地域、鏡像倉的類型以及風險狀態等信息。
搜索目標鏡像倉
您可使用鏡像倉列表上方提供的搜索組件,通過鏡像倉的實例ID、命名空間等信息查找目標鏡像倉。
查看目標鏡像倉
單擊目標鏡像倉的名稱或者操作列的查看,進入該鏡像倉的詳情頁面,可以查看該鏡像倉中的所有鏡像的鏡像倉名稱、版本、大小、風險狀態等信息。在鏡像倉的詳情頁面,單擊目標鏡像倉版本對應操作列的處理,可以查看或導出相關風險漏洞信息。
同步ACR資產
針對阿里云容器鏡像服務ACR(Alibaba Cloud Container Registry)企業版,您可以單擊目標鏡像倉操作列的同步,開啟ACR資產自動同步。開啟后,在ACR新增的資產將自動更新至云安全中心鏡像資產列表。
掃描容器鏡像
云安全中心的鏡像掃描功能,可以幫助您檢測鏡像是否存在鏡像漏洞、基線風險、惡意樣本和敏感文件,為您創造安全的鏡像運行環境。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇 。
在容器資產頁面的鏡像頁簽,單擊容器鏡像掃描區域的立即掃描。
在一鍵掃描對話框,選擇需要掃描的鏡像類型,按需配置掃描范圍,然后單擊確定。
配置掃描范圍的具體操作,請參見執行鏡像安全掃描。
(可選)在容器資產頁面右上角,單擊任務管理。在任務管理面板的鏡像掃描、鏡像修復和容器運行時鏡像掃描頁簽,查看鏡像掃描和鏡像修復信息。
相關文檔
容器資產全景功能從集群、容器、鏡像、應用等資產維度為您提供安全可視化的管控能力和云上容器資產的網絡拓撲,幫助您提升管理容器資產安全的效率。具體內容,請參見容器資產全景。
云安全中心提供了容器K8s威脅檢測和容器防逃逸等容器安全能力,您可以通過開啟對應功能為您的容器運行環境提供安全防護。具體內容,請參見容器防護設置。
容器簽名可實現對容器鏡像的可信簽名,確保只允許部署您認可的容器鏡像,防止未經簽名授權的鏡像啟動,從根本上幫助您提升資產的安全性。具體內容,請參見容器簽名。
云安全中心會檢測鏡像資產中存在的系統漏洞、應用漏洞、基線風險和惡意樣本,并進行分類展示,您可以查看詳細的安全風險并進行修復。具體內容,請參見查看掃描出的鏡像風險及修復說明。
云安全中心的安全監控功能,提供監控和告警能力,包括惡意鏡像啟動、病毒和惡意程序的查殺、容器內部入侵行為、容器逃逸和高風險操作預警等主要的容器側攻擊行為。具體內容,請參見使用安全監控。