容器服务ACK提供安全概览功能,支持对节点、容器镜像、容器运行时、工作负载配置进行风险识别及安全加固,可以帮助您提升云上资源和业务应用的安全治理效率。本文介绍如何使用容器服务ACK的安全概览功能。
使用说明
- 安全概览功能仅支持ACK托管版集群,目前处于邀测中。如需使用,请提交工单申请。
- 除了容器运行时风险,由于其他节点漏洞、容器镜像风险、工作负载配置风险数据会有24小时延时,在初次授权开启使用或风险修复完成后,需等待24小时,才可以在安全概览页面看到最新数据。
查看安全概览
登录容器服务管理控制台,在左侧导航栏选择集群。
在集群列表页面,单击目标集群名称,然后在左侧导航栏,选择集群信息。
- 在集群信息页面,单击安全概览页签。安全概览会展示两个维度的风险。下图中红框部分的数据表示从风险视角分析的结果,蓝框部分的数据表示从资产视角分析的结果。例如,下图节点漏洞中,从风险视角看,该集群共出现5个高危风险,从资产视角看,该集群共有2个节点池,该高危风险存在1个节点池中。
类别 说明 集群安全风险 展示集群整体安全状态。 节点漏洞 展示节点漏洞风险,默认开启。 容器镜像风险 用于识别来自容器镜像服务企业版ACR EE上容器镜像的安全风险,需授权后使用。 容器运行时风险 用于实时查看容器运行时风险并进行运行时实时防护。容器运行时风险基于云安全中心来做相关诊断,需购买云安全中心的高级版及以上版本。更多信息,请参见购买云安全中心。 工作负载配置风险 帮您实时了解当前状态下运行应用的配置是否有安全隐患,需开启配置巡检功能后使用。
集群安全风险
集群安全风险用于展示容器集群的安全风险等级,具体定义如下。
- 健康
当节点漏洞无高危风险时,集群中已开启容器镜像风险、容器运行时风险、工作负载配置风险扫描,且扫描结果无高危风险,则集群安全风险等级为健康。
- 高危
当节点漏洞出现高危或者容器运行时出现高危时,集群安全风险等级为高危。
- 中危
其他情况均为中危。
节点漏洞
节点漏洞检查默认开启。
在安全概览页面下方,单击节点漏洞页签,查看节点漏洞列表,包含对应的节点池以及影响该节点池中的节点数,然后单击修复即可跳转至节点池详情页面进行漏洞修复。关于节点池CVE漏洞修复,请参见修复节点池操作系统CVE漏洞。
容器镜像风险
在安全概览页面下方,单击容器镜像风险页签,查看容器镜像风险列表项,包含对应容器镜像的地址、受影响容器、扫描时间等详情,然后单击修复即可跳转至ACR EE对应的镜像风险详情页面,查看风险详情并修复。
容器运行时风险
容器运行时风险基于云安全中心来做相关诊断,您需要提前购买云安全中心的高级版及以上版本。更多信息,请参见购买云安全中心。云安全中心购买完成后,可实时查看容器运行时风险并进行运行时实时防护。
在安全概览页面下方,单击容器运行时风险页签,查看容器运行时风险列表项,包含对应的告警名称、告警描述,然后单击处理即可跳转至安全监控页面进行风险治理。
工作负载配置风险
您需要提前开启配置巡检功能。开启配置巡检后,会有24小时延时,才会显示当前集群下的工作负载配置情况及风险情况。具体操作,请参见执行巡检。
在安全概览页面下方,单击工作负载配置风险页签,查看对应的风险描述以及对应的加固建议,然后单击查看详情即可跳转至集群的配置巡检页面进行风险修复。