云安全中心的容器主动防御功能可在该集群内使用镜像创建资源时,对镜像进行安全风险校验,对命中容器主动防御策略的镜像执行拦截、告警或放行动作,确保集群内启动的镜像符合您的安全要求。本文介绍如何使用容器主动防御功能。
容器主动防御的原理
为集群创建容器防御策略之后,当您在该集群内使用镜像创建资源时(如创建Pod),会触发安全风险校验请求至云安全中心,云安全中心会按照该集群的容器主动防御策略,对该镜像进行安全风险校验,校验该镜像是否存在漏洞风险、基线风险和恶意样本,对命中容器主动防御策略的镜像,云安全中心会对其执行告警、拦截或放行的操作,并且会产生一条关于该镜像安全风险校验结果的告警事件。
操作演示视频
版本限制说明
支持的容器服务ACK的集群类型
容器主动防御功能目前仅支持容器服务ACK的部分集群类型,具体支持的集群类型如下表。
容器服务ACK的集群类型 | 是否支持 |
---|---|
ACK托管版集群 | 支持 |
ACK专有版集群 | 支持 |
ASK集群 | 不支持 |
ACK边缘托管版集群 | 不支持 |
注册集群 | 不支持 |
创建防御策略
创建防御策略前,请确保已在容器服务ACK控制台安装安全策略治理组件policy-template-controller。详细信息,请参见安装策略治理组件。
说明 每个集群最多支持创建40个防御策略。
- 登录云安全中心控制台。在左侧导航栏选择 。
- 创建防御策略。
- 如果您是首次使用此功能,请单击容器主动防御页面的创建策略。
- 如果您不是首次使用此功能,请在策略页签左侧的集群列表中,选中要创建防御策略的集群的名称。
- 单击创建策略,展开新建策略面板,进行策略配置,然后单击确定。
如果您已经为集群创建了防御策略,您还可以在已有的策略列表中通过复制策略快捷创建新的策略。你可以单击已有策略操作列的复制,展开复制策略面板,在复制策略策略面板,根据您的业务需要修改策略的配置,然后单击确定,完成策略创建。
配置项 说明 策略模版 选择策略的模板。您可以选择空白模板创建一组自定义配置项,也可以选用包含一组预定义风险配置项的模板。 未扫描镜像 是否允许未使用云安全中心的镜像安全扫描功能扫描过的镜像启动。 说明 该配置项能够帮助您确认策略范围内运行的镜像均通过安全扫描。开启该配置项时,建议先配置规则动作为告警。如有更严格的安全管控需求,可先观察一段时间内的告警事件,确认该策略不会影响业务部署需求后再切换为拦截。互联网恶意镜像 选择是否支持拦截互联网传播的恶意镜像启动,如从公开镜像仓库下载的恶意镜像或从Dockerhub公开仓库拉取的包含后门木马等恶意程序的镜像等。 告警策略 告警策略的配置包含以下三类配置项: - 基线
- 漏洞
- 恶意样本
重要- 如果您同时配置了多个配置项,则任意一项配置命中后,云安全中心会立即执行规则动作,不会继续匹配其他配置项。策略匹配的顺序依次为:互联网恶意镜像、未扫描镜像、恶意样本、基线、漏洞。
- 每一类配置项的可选条件之间为“或”的关系。例如漏洞配置中,如果您配置风险等级为高危,并指定了一些具体的CVEID,那么只要启动的镜像包含高危漏洞,或者包含您指定的CVEID漏洞,则会命中该策略。
策略名称 填写策略的名称。 策略描述 填写策略的描述。 命名空间 选择镜像启动的命名空间,支持多选。 镜像 选择镜像,支持多选。 标签 选择镜像的标签,支持多选。 规则动作 选择策略执行的动作。取值: - 告警:镜像启动后,会产生一条规则动作为告警的告警事件。
- 拦截:镜像启动时,符合策略的镜像将被阻止启动,并且会产生一条规则动作为拦截的告警事件。
- 放行:镜像启动后,会产生一条规则动作为放行的告警事件。
加白名单 填写需要加入白名单的镜像名。白名单最多可设置20个。 支持填写部分关键字进行模糊匹配。以镜像地址yundun-example-registry.cn-hangzhou.aliyuncs.com/yundun-example/yun-repo:test为例,您可以填写部分关键字进行模糊匹配。以下白名单配置方式均有效:- yun-repo
- test
- yun-repo:test
- repo:test
重要 将镜像加入策略白名单后,该镜像的启动时,云安全中心将不会对该镜像进行安全风险的校验动作,请您谨慎操作。策略创建成功后,云安全中心将在镜像启动时,按照策略内容对该镜像进行安全风险校验,并将校验结果生成一条告警事件展示在告警列表中。已创建的策略支持编辑和删除。您可以单击已创建策略操作列的编辑或删除,修改或删除已创建的策略。
查看告警事件
您可以在容器主动防御页面的告警页签下,查看启动镜像的集群命中防御策略产生的告警事件。
- 登录云安全中心控制台。在左侧导航栏选择 。
- 在告警页签,查看告警数据。告警页签下分为防御趋势、风险集群TOP 10和策略告警检测三个区域。
- 在防御趋势区域,您可以通过防御趋势图表,查看所有配置了容器主动防御策略的集群近期的防御趋势。
- 在风险集群TOP 10区域,您可以查看容器主动防御策略触发量TOP 10的集群。
- 在策略告警检测区域,您可以查看告警的详细信息。告警的详细信息中包括策略的信息和镜像的信息。
- 在告警列表中,单击镜像列的镜像名称,可以跳转该镜像的镜像详情页面。您可以在镜像详情页面,查看并处理镜像中存在的安全风险。说明 仅已接入云安全中心的镜像,单击镜像名称才可以跳转到镜像详情页面。镜像接入云安全中心的具体操作,请参见接入镜像仓库。
- 在告警列表中,将鼠标悬停在规则动作列的图标上,在弹出的对话框中,您可以查看该镜像在进行安全风险校验时,命中的容器主动防御的告警策略的详细信息。重要 在上述对话框中,仅展示该镜像在进行安全风险校验时,命中的一个安全风险的信息。如果您想成功启动该镜像,您需要处理该镜像中存在的其他安全风险问题,以免该镜像再次启动时,再次命中防御策略,再次被拦截无法成功启动。具体操作,请参见处理告警事件。
- 在告警列表中,单击操作列的策略变更,可以快捷地变更策略的规则动作。
- 在告警列表中,单击镜像列的镜像名称,可以跳转该镜像的镜像详情页面。您可以在镜像详情页面,查看并处理镜像中存在的安全风险。
处理告警事件
为保障您容器的安全运行,建议您及时查看和处理云安全中心上报的告警事件。