云安全中心提供了容器K8s威胁检测和容器防逃逸等容器安全能力,您可以通过开启对应功能为您的容器运行环境提供安全防护。本文介绍容器防护设置支持的功能及如何设置相应功能。
容器K8s威胁检测
容器K8s威胁检测能力支持实时检测正在运行的容器集群安全状态,及时发现容器集群中的安全隐患和黑客入侵行为。开启容器K8s威胁检测能力后,云安全中心将为您开启容器集群异常类型告警的检测。云安全中心支持的检测项详情,请参见容器K8s威胁检测项。
版本限制
包年包月版:开通步骤请参见购买包年包月实例,其中版本选择为企业版或旗舰版。
按量付费版:开通步骤请参见开通按量付费功能,其中主机及容器安全选择是。开通后请至少为一台服务器完成企业版或旗舰版授权,具体操作请参见绑定服务器防护版本(按量付费版)。
开启容器K8s威胁检测
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在设置页签容器防护设置子页签的容器K8s威胁检测区域,打开威胁检测开关。
开启该功能后,如果检测到K8s容器集群中存在安全风险,会在云安全中心页面展示相关告警,建议您及时查看并处理相关告警。具体操作,请参见查看和处理安全告警。
说明如果已开启威胁分析与响应功能,安全告警处理功能入口会变更,详细内容,请参见什么是威胁分析与响应。
容器K8s威胁检测项
类型 | 检测项 |
容器集群异常 | K8s API Server执行异常指令 |
Pod异常目录挂载 | |
K8s Service Account横向移动 | |
恶意镜像Pod启动 | |
异常网络连接 | 反弹Shell网络外连 |
可疑网络外连 | |
疑似内网横向移动 | |
恶意软件 | DDoS木马 |
可疑矿机通信 | |
可疑程序 | |
可疑端口爆破扫描工具 | |
可疑黑客程序 | |
后门程序 | |
恶意漏洞扫描工具 | |
恶意程序 | |
挖矿程序 | |
木马程序 | |
自变异木马 | |
蠕虫病毒 | |
网站后门 | WebShell |
进程异常行为 | Apache-CouchDB执行异常指令 |
FTP应用执行异常指令 | |
Hadoop执行异常指令 | |
Java应用执行异常指令 | |
Jenkins执行异常指令 | |
Linux异常账号创建 | |
Linux计划任务执行异常指令 | |
MySQL执行异常指令 | |
Oracle执行异常指令 | |
PostgreSQL应用执行异常指令 | |
Python应用执行异常指令 | |
SSH远程非交互式一句话异常指令执行 | |
WebShell执行可疑探测指令 | |
Windows-3389-RDP配置被修改 | |
Windows异常下载指令 | |
Windows异常账号创建 | |
crontab计划任务被写入恶意代码 | |
Linux可疑命令序列 | |
Linux可疑命令执行 | |
动态植入可疑脚本文件 | |
反弹Shell | |
反弹Shell命令 | |
可疑HTTP隧道信息泄露 | |
可疑SSH Tunnel端口转发隧道 | |
可疑WebShell写入行为 | |
可疑特权容器启动 | |
可疑端口监听异常进程 | |
启动恶意容器 | |
存在风险的Docker远程调试接口 | |
异常操作指令 | |
容器内部提权或逃逸 | |
启动恶意容器 |
容器防逃逸
容器防逃逸从进程、文件、系统调用等多种维度检测高风险行为,在容器与宿主机之间建立防护屏障,有效阻断逃逸行为保障容器运行时安全。该功能可防御已知和未知的攻击模式,拦截攻击者利用容器漏洞逃逸到宿主服务器上的攻击。
前提条件
已开启恶意主机行为防御或网站后门连接防御中的任一功能。具体操作,请参见主动防御。
开启容器防逃逸
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在设置页签容器防护设置子页签的容器防逃逸区域,打开威胁检测开关。
后续步骤
打开容器防逃逸开关后,您需要配置容器防逃逸规则才能为容器提供防逃逸功能。具体操作,请参见容器防逃逸。
打开容器防逃逸开关并配置容器防逃逸规则后,如果检测到K8s容器集群中存在安全风险,会在云安全中心的页面展示相关告警,建议您及时查看并处理相关告警。具体操作,请参见查看和处理安全告警。
说明如果已开启威胁分析与响应功能,安全告警处理功能入口会变更,详细内容,请参见什么是威胁分析与响应。