云安全中心的容器主动防御功能可在该集群内使用镜像创建资源时,对镜像进行安全风险校验,对命中容器主动防御策略的镜像执行拦截、告警或放行动作,确保集群内启动的镜像符合您的安全要求。本文介绍如何使用容器主动防御功能。

容器主动防御的原理

为集群创建容器防御策略之后,当您在该集群内使用镜像创建资源时(如创建Pod),会触发安全风险校验请求至云安全中心,云安全中心会按照该集群的容器主动防御策略,对该镜像进行安全风险校验,校验该镜像是否存在漏洞风险、基线风险和恶意样本,对命中容器主动防御策略的镜像,云安全中心会对其执行告警、拦截或放行的操作,并且会产生一条关于该镜像安全风险校验结果的告警事件。

操作演示视频

版本限制说明

仅云安全中心的旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

支持的容器服务ACK的集群类型

容器主动防御功能目前仅支持容器服务ACK的部分集群类型,具体支持的集群类型如下表。

容器服务ACK的集群类型是否支持
ACK托管版集群支持
ACK专有版集群支持
ASK集群不支持
ACK边缘托管版集群不支持
注册集群不支持

创建防御策略

创建防御策略前,请确保已在容器服务ACK控制台安装安全策略治理组件policy-template-controller。详细信息,请参见安装策略治理组件

说明 每个集群最多支持创建40个防御策略。
  1. 登录云安全中心控制台在左侧导航栏选择防护配置 > 容器防护 > 容器主动防御
  2. 创建防御策略。
    • 如果您是首次使用此功能,请单击容器主动防御页面的创建策略
    • 如果您不是首次使用此功能,请在策略页签左侧的集群列表中,选中要创建防御策略的集群的名称。
  3. 单击创建策略,展开新建策略面板,进行策略配置,然后单击确定

    如果您已经为集群创建了防御策略,您还可以在已有的策略列表中通过复制策略快捷创建新的策略。你可以单击已有策略操作列的复制,展开复制策略面板,在复制策略策略面板,根据您的业务需要修改策略的配置,然后单击确定,完成策略创建。

    配置项说明
    策略模版选择策略的模板。您可以选择空白模板创建一组自定义配置项,也可以选用包含一组预定义风险配置项的模板。
    未扫描镜像是否允许未使用云安全中心的镜像安全扫描功能扫描过的镜像启动。
    说明 该配置项能够帮助您确认策略范围内运行的镜像均通过安全扫描。开启该配置项时,建议先配置规则动作为告警。如有更严格的安全管控需求,可先观察一段时间内的告警事件,确认该策略不会影响业务部署需求后再切换为拦截
    互联网恶意镜像选择是否支持拦截互联网传播的恶意镜像启动,如从公开镜像仓库下载的恶意镜像或从Dockerhub公开仓库拉取的包含后门木马等恶意程序的镜像等。
    告警策略告警策略的配置包含以下三类配置项:
    • 基线
    • 漏洞
    • 恶意样本
    您可以按照您的业务需要,分别配置基线、漏洞和恶意样本的策略。
    重要
    • 如果您同时配置了多个配置项,则任意一项配置命中后,云安全中心会立即执行规则动作,不会继续匹配其他配置项。策略匹配的顺序依次为:互联网恶意镜像、未扫描镜像、恶意样本、基线、漏洞。
    • 每一类配置项的可选条件之间为“或”的关系。例如漏洞配置中,如果您配置风险等级为高危,并指定了一些具体的CVEID,那么只要启动的镜像包含高危漏洞,或者包含您指定的CVEID漏洞,则会命中该策略。
    策略名称填写策略的名称。
    策略描述填写策略的描述。
    命名空间选择镜像启动的命名空间,支持多选。
    镜像选择镜像,支持多选。
    标签选择镜像的标签,支持多选。
    规则动作选择策略执行的动作。取值:
    • 告警:镜像启动后,会产生一条规则动作告警的告警事件。
    • 拦截:镜像启动时,符合策略的镜像将被阻止启动,并且会产生一条规则动作拦截的告警事件。
    • 放行:镜像启动后,会产生一条规则动作放行的告警事件。
    加白名单填写需要加入白名单的镜像名。白名单最多可设置20个。
    支持填写部分关键字进行模糊匹配。以镜像地址yundun-example-registry.cn-hangzhou.aliyuncs.com/yundun-example/yun-repo:test为例,您可以填写部分关键字进行模糊匹配。以下白名单配置方式均有效:
    • yun-repo
    • test
    • yun-repo:test
    • repo:test
    重要 将镜像加入策略白名单后,该镜像的启动时,云安全中心将不会对该镜像进行安全风险的校验动作,请您谨慎操作。
    策略创建成功后,云安全中心将在镜像启动时,按照策略内容对该镜像进行安全风险校验,并将校验结果生成一条告警事件展示在告警列表中。

    已创建的策略支持编辑和删除。您可以单击已创建策略操作列的编辑删除,修改或删除已创建的策略。

查看告警事件

您可以在容器主动防御页面的告警页签下,查看启动镜像的集群命中防御策略产生的告警事件。

  1. 登录云安全中心控制台在左侧导航栏选择防护配置 > 容器防护 > 容器主动防御
  2. 告警页签,查看告警数据。
    告警页签下分为防御趋势风险集群TOP 10策略告警检测三个区域。
    • 防御趋势区域,您可以通过防御趋势图表,查看所有配置了容器主动防御策略的集群近期的防御趋势。
    • 风险集群TOP 10区域,您可以查看容器主动防御策略触发量TOP 10的集群。
    • 策略告警检测区域,您可以查看告警的详细信息。告警的详细信息中包括策略的信息和镜像的信息。
      • 在告警列表中,单击镜像列的镜像名称,可以跳转该镜像的镜像详情页面。您可以在镜像详情页面,查看并处理镜像中存在的安全风险。
        说明 仅已接入云安全中心的镜像,单击镜像名称才可以跳转到镜像详情页面。镜像接入云安全中心的具体操作,请参见接入镜像仓库
      • 在告警列表中,将鼠标悬停在规则动作列的图标上,在弹出的对话框中,您可以查看该镜像在进行安全风险校验时,命中的容器主动防御的告警策略的详细信息。
        重要 在上述对话框中,仅展示该镜像在进行安全风险校验时,命中的一个安全风险的信息。如果您想成功启动该镜像,您需要处理该镜像中存在的其他安全风险问题,以免该镜像再次启动时,再次命中防御策略,再次被拦截无法成功启动。具体操作,请参见处理告警事件
      • 在告警列表中,单击操作列的策略变更,可以快捷地变更策略的规则动作

处理告警事件

为保障您容器的安全运行,建议您及时查看和处理云安全中心上报的告警事件。

  1. 登录云安全中心控制台在左侧导航栏选择防护配置 > 容器防护 > 容器主动防御
  2. 告警页签,单击目标告警事件的镜像列的镜像名称,跳转该镜像的镜像详情页面。
    仅已接入云安全中心的镜像,单击镜像名称才可以跳转到镜像详情页面。镜像接入云安全中心的具体操作,请参见接入镜像仓库
  3. 在镜像详情页面,处理镜像中存在的安全风险。
    您需要在镜像详情页面的镜像系统漏洞镜像应用漏洞镜像基线检查镜像恶意样本这4个页签下,将与该镜像所在集群的容器主动防御策略相关的风险问题全部都处理后,才能确保再次启动镜像不会被拦截或当前已运行的容器不存在安全风险问题。