运行时刻安全监控提供监控和告警能力,包括恶意镜像启动,病毒和恶意程序的查杀,容器内部入侵行为,容器逃逸和高风险操作预警等主要的容器侧攻击行为。本文介绍如何使用针对指定ACK集群的运行时刻安全监控。

前提条件

  • 已创建一个Kubernetes集群,详情请参见创建Kubernetes托管版集群
  • 已开启云安全中心服务,详情请参见购买云安全中心
  • 如果您使用的是子账号,请确保子账号有云安全中心的RAM只读访问权限AliyunYundunSASReadOnlyAccess。

背景信息

当容器应用通过API Server的认证鉴权和准入控制校验成功部署后,在云原生应用零信任的安全原则下,还需要在容器应用的运行时刻提供相应的安全监控和告警能力。为此,容器服务和云安全中心深度集成告警处理和漏洞检测能力,集群管理员可以在应用运行时提供监控和告警能力,包括恶意镜像启动,病毒和恶意程序的查杀,容器内部入侵行为,容器逃逸和高风险操作预警等主要的容器侧攻击行为。您可以在集群详情页实时接收到相应告警,并根据页面提示查看和处理告警详情。

操作步骤

  1. 登录容器服务管理控制台
  2. 在控制台左侧导航栏中,单击集群
  3. 集群列表页面中,单击目标集群名称或者目标集群右侧操作列下的详情
  4. 在集群管理页面左侧导航栏中,选择安全管理 > 运行时刻安全监控,在运行时刻安全监控页面查看监控和告警信息。
    • 运行时刻安全监控页面上方显示了集群的安全概况,包括安全检测、节点状态和防御能力。
      • 安全检测:显示检测到的安全风险告警事件。您可以单击查看更多,跳转到云安全中心总览页面,查看详细事件。
      • 节点状态:显示健康节点和存在风险节点。
      • 防御能力:显示待处理的告警事件、后台扫描agent中病毒库更新时间和上次系统漏洞的扫描时间。
    • 运行时刻安全监控页面下方单击安全告警处理页签,显示了集群中实时监控到的安全事件,包括在容器中或在主机层面发生的病毒和恶意程序攻击,容器内部的入侵行为,容器逃逸和高风险操作预警等主要的容器侧攻击行为,安全告警的详细说明请参见安全告警概述
      • 在安全告警处理页面单击目标安全告警操作列的处理,您可以在弹出的对话框中将该安全告警加入白名单或者忽略该安全告警。
      • 在安全告警处理页面单击目标安全告警操作列的详情,在告警事件的详情页面显示安全告警事件详细信息,包括事件的发生时间,受影响资产信息,进程ID等相关信息。在详情页面单击溯源页签,在溯源页面可以对攻击事件进行自动化溯源并提供原始数据预览。
    • 运行时刻安全监控页面下方单击漏洞信息页签,显示集群节点上存在的CVE漏洞。
      单击详细漏洞页签,单击目标漏洞操作列的修复,跳转到漏洞修复详情页,您可以选择目标资产进行一键修复。
      说明 漏洞信息页面显示的CVE漏洞包含Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞、应急漏洞,详细介绍请参见以下内容: