云安全中心提供了容器K8s威胁检测和容器防逃逸等容器安全能力,您可以通过开启对应功能为您的容器运行环境提供安全防护。本文介绍容器防护设置支持的功能及如何设置相应功能。

容器K8s威胁检测

容器K8s威胁检测能力支持实时检测正在运行的容器集群安全状态,及时发现容器集群中的安全隐患和黑客入侵行为。开启容器K8s威胁检测能力后,云安全中心将为您开启容器集群异常类型告警的检测。云安全中心支持的检测项详情,请参见容器K8s威胁检测项

版本限制

仅云安全中心的旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

开启容器K8s威胁检测

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择系统配置 > 功能设置
  2. 设置页签容器防护设置子页签的容器K8s威胁检测区域,打开威胁检测开关。
    开启该功能后,如果检测到K8s容器集群中存在安全风险,会在安全告警处理页面展示相关告警,建议您及时查看并处理相关告警。具体操作,请参见查看和处理告警事件

容器K8s威胁检测项

类型检测项
容器集群异常K8s API Server执行异常指令
Pod异常目录挂载
K8s Service Account横向移动
恶意镜像Pod启动
异常网络连接反弹Shell网络外连
可疑网络外连
疑似内网横向移动
恶意进程(云查杀)DDoS木马
可疑矿机通信
可疑程序
可疑端口爆破扫描工具
可疑黑客程序
后门程序
恶意漏洞扫描工具
恶意程序
挖矿程序
木马程序
自变异木马
蠕虫病毒
网站后门WebShell
进程异常行为Apache-CouchDB执行异常指令
FTP应用执行异常指令
Hadoop执行异常指令
Java应用执行异常指令
Jenkins执行异常指令
Linux异常账号创建
Linux计划任务执行异常指令
MySQL执行异常指令
Oracle执行异常指令
PostgreSQL应用执行异常指令
Python应用执行异常指令
SSH远程非交互式一句话异常指令执行
WebShell执行可疑探测指令
Windows-3389-RDP配置被修改
Windows异常下载指令
Windows异常账号创建
crontab计划任务被写入恶意代码
Linux可疑命令序列
Linux可疑命令执行
动态植入可疑脚本文件
反弹Shell
反弹Shell命令
可疑HTTP隧道信息泄露
可疑SSH Tunnel端口转发隧道
可疑WebShell写入行为
可疑特权容器启动
可疑端口监听异常进程
启动恶意容器
存在风险的Docker远程调试接口
异常操作指令
容器内部提权或逃逸
启动恶意容器

容器防逃逸

容器防逃逸从进程、文件、系统调用等多种维度检测高风险行为,在容器与宿主机之间建立防护屏障,有效阻断逃逸行为保障容器运行时安全。该功能可防御已知和未知的攻击模式,拦截攻击者利用容器漏洞逃逸到宿主服务器上的攻击。

前提条件

已开启恶意主机行为防御网站后门连接防御中的任一功能。具体操作,请参见主动防御

开启容器防逃逸

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择系统配置 > 功能设置
  2. 设置页签容器防护设置子页签的容器防逃逸区域,打开威胁检测开关。

后续步骤

打开容器防逃逸开关后,您需要配置容器防逃逸规则才能为容器提供防逃逸功能。具体操作,请参见容器防逃逸

打开容器防逃逸开关并配置容器防逃逸规则后,如果检测到K8s容器集群中存在安全风险,会在安全告警处理页面展示相关告警,建议您及时查看并处理相关告警。具体操作,请参见查看和处理告警事件