使用安全监控

安全监控提供监控和告警能力,包括恶意镜像启动、病毒和恶意程序的查杀、容器内部入侵行为、容器逃逸和高风险操作预警等主要的容器侧攻击行为。本文介绍如何使用安全监控功能。

前提条件

  • 已创建Kubernetes集群,具体操作,请参见创建ACK托管集群

  • 已开启云安全中心服务,具体操作,请参见购买云安全中心

  • 如果您使用的是子账号(即RAM用户),请确保子账号有云安全中心的RAM只读访问权限AliyunYundunSASReadOnlyAccess。

背景信息

当容器应用通过API Server的认证鉴权和准入控制校验成功部署后,在云原生应用零信任的安全原则下,还需要在容器应用的运行时刻提供相应的安全监控和告警能力。为此,容器服务和云安全中心深度集成告警处理和漏洞检测能力,集群管理员可以在应用运行时提供监控和告警能力,包括恶意镜像启动,病毒和恶意程序的查杀,容器内部入侵行为,容器逃逸和高风险操作预警等主要的容器侧攻击行为。您可以在集群详情页实时接收到相应告警,并根据页面提示查看和处理告警详情。

操作步骤

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择安全管理 > 安全监控

  3. 安全监控页面查看集群的安全概况。

    • 安全告警数

      显示检测到的安全风险告警事件,包括在容器中或在主机层面发生的病毒和恶意程序攻击、容器内部的入侵行为、容器逃逸和高风险操作预警等主要的容器侧攻击行为。关于安全告警的详细说明,请参见安全告警概述。您可以单击安全告警数区域进入安全告警数页面进行如下操作。

      • 在页面下方,单击目标安全告警操作列的处理,您可以在弹出的对话框中将该安全告警加入白名单或者忽略该安全告警。

      • 在页面下方,单击目标安全告警操作列的详情,在告警事件的详情页面显示安全告警事件详细信息,包括事件的发生时间、受影响资产信息、进程ID等相关信息。然后在详情页面,单击溯源页签,在溯源页面可以对攻击事件进行自动化溯源并提供原始数据预览。

    • 漏洞风险数

      查看和处理资产中存在的漏洞,包括Linux漏洞、应用漏洞等。关于漏洞风险的详细说明,请参见漏洞管理。您可以单击漏洞风险数区域进入漏洞风险数页面进行如下操作。

      • 在页面下方,单击目标漏洞的名称或操作列的处理,您可以查看漏洞详情和待处理漏洞。漏洞详情列表提供漏洞的处理建议,待处理漏洞列表提供漏洞的修复、验证以及详情查看功能。

      • 在页面下方,单击目标漏洞右侧的漏洞编号,将跳转至阿里云漏洞库,提供更详细的漏洞信息。

    • 基线风险数

      针对服务器操作系统、数据库、软件和容器的配置进行安全检测,可以帮您加固系统安全,降低入侵风险并满足安全合规要求。关于基线风险的详细说明,请参见基线检查。您可以单击基线风险数区域进入基线风险数页面,单击目标基线风险项右侧操作列的详情,查看基线风险描述以及受影响资产列表。

    • 容器防火墙告警数

      为容器环境提供的防火墙服务。当黑客利用漏洞或恶意镜像入侵容器集群时,容器防火墙会对容器的异常行为进行告警或拦截。关于容器防火墙的详细说明,请参见容器防火墙。您可以单击容器防火墙告警数区域进入容器防火墙告警数页面。

      • 在页面的告警列表中,包括告警等级、名称、源、目的网络对象,涉及的端口、集群以及防御模式。

      • 在页面的告警列表中,您可以单击操作列的编辑规则对告警规则进行编辑。