安全概览

容器服务ACK提供安全概览功能,支持对节点、容器镜像、容器运行时、工作负载配置进行风险识别及安全加固,可以帮助您提升云上资源和业务应用的安全治理效率。本文介绍如何使用容器服务ACK的安全概览功能。

使用说明

  • 安全概览功能仅支持ACK托管版集群,目前处于邀测中。如需使用,请提交工单申请。
  • 除了容器运行时风险,由于其他节点漏洞、容器镜像风险、工作负载配置风险数据会有24小时延时,在初次授权开启使用或风险修复完成后,需等待24小时,才可以在安全概览页面看到最新数据。

查看安全概览

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择集群信息

  3. 集群信息页面,单击安全概览页签。
    安全概览会展示两个维度的风险。下图中红框部分的数据表示从风险视角分析的结果,蓝框部分的数据表示从资产视角分析的结果。例如,下图节点漏洞中,从风险视角看,该集群共出现5个高危风险,从资产视角看,该集群共有2个节点池,该高危风险存在1个节点池中。概览页
    类别说明
    集群安全风险展示集群整体安全状态。
    节点漏洞展示节点漏洞风险,默认开启。
    容器镜像风险用于识别来自容器镜像服务企业版ACR EE上容器镜像的安全风险,需授权后使用。
    容器运行时风险用于实时查看容器运行时风险并进行运行时实时防护。容器运行时风险基于云安全中心来做相关诊断,需购买云安全中心的高级版及以上版本。更多信息,请参见购买云安全中心
    工作负载配置风险帮您实时了解当前状态下运行应用的配置是否有安全隐患,需开启配置巡检功能后使用。

集群安全风险

集群安全风险用于展示容器集群的安全风险等级,具体定义如下。

  • 健康

    当节点漏洞无高危风险时,集群中已开启容器镜像风险、容器运行时风险、工作负载配置风险扫描,且扫描结果无高危风险,则集群安全风险等级为健康。

  • 高危

    当节点漏洞出现高危或者容器运行时出现高危时,集群安全风险等级为高危。

  • 中危

    其他情况均为中危。

节点漏洞

节点漏洞检查默认开启。

安全概览页面下方,单击节点漏洞页签,查看节点漏洞列表,包含对应的节点池以及影响该节点池中的节点数,然后单击修复即可跳转至节点池详情页面进行漏洞修复。关于节点池CVE漏洞修复,请参见修复节点池操作系统CVE漏洞

说明 漏洞修复完成后,安全概览页面的相关数据还需等待24小时才会刷新。

容器镜像风险

您需要提前给ACR授权,单击容器镜像风险卡片上的去授权,根据提示完成授权相关操作。您也可以单击移除权限关闭容器镜像风险分析能力。
说明 授权完成后,会有24小时延时,才会显示当前集群下正在运行的容器镜像个数,并关联对应来自ACR EE的容器镜像的安全风险。

安全概览页面下方,单击容器镜像风险页签,查看容器镜像风险列表项,包含对应容器镜像的地址、受影响容器、扫描时间等详情,然后单击修复即可跳转至ACR EE对应的镜像风险详情页面,查看风险详情并修复。

说明 风险修复完成后,安全概览页面的相关数据还需等待24小时才会刷新。

容器运行时风险

容器运行时风险基于云安全中心来做相关诊断,您需要提前购买云安全中心的高级版及以上版本。更多信息,请参见购买云安全中心。云安全中心购买完成后,可实时查看容器运行时风险并进行运行时实时防护。

安全概览页面下方,单击容器运行时风险页签,查看容器运行时风险列表项,包含对应的告警名称、告警描述,然后单击处理即可跳转至安全监控页面进行风险治理。

工作负载配置风险

您需要提前开启配置巡检功能。开启配置巡检后,会有24小时延时,才会显示当前集群下的工作负载配置情况及风险情况。具体操作,请参见执行巡检

安全概览页面下方,单击工作负载配置风险页签,查看对应的风险描述以及对应的加固建议,然后单击查看详情即可跳转至集群的配置巡检页面进行风险修复。

说明 风险修复完成后,安全概览页面的相关数据还需等待24小时才会刷新。