容器资产管理

云安全中心具备针对容器安全的一体化防护能力,支持针对容器的漏洞、配置合规、攻击入侵等行为进行实时的检测和防御。将容器资产接入云安全中心后,您可以通过云安全中心统一管理容器资产。本文介绍如何查看容器资产中存在的安全风险。

版本限制

仅云安全中心的旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

前提条件

同步最新资产

查看容器资产信息前,您需要先同步最新的容器资产信息,确保将新接入的容器资产同步到云安全中心资产列表。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 容器资产

  3. 容器资产页面的集群镜像页签,单击同步最新资产

  4. (可选)在容器资产页面右上角,单击任务管理。在任务管理面板的容器资产同步镜像资产同步页签,查看资产同步进展、状态、详情等信息。

集群管理

查看集群信息

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 容器资产

  3. 容器资产页面的集群页签,查看已接入的集群数、存在风险的集群数和已接入的集群列表。

    image..png

    • 搜索目标集群

      您可以使用集群列表上方提供的搜索组件,通过集群ID、集群类型等信息查找目标集群。

    • 查看目标集群风险详情

      单击目标集群名称或操作列的查看,进入该集群的风险详情页面,可查看当前集群内的安全告警、漏洞风险、基线风险和容器防火墙告警的统计数据和相应风险的列表信息。

集群暴露分析

如果您将容器端口暴露在公网上,可能会对您的业务造成网络攻击、数据泄露等安全风险。为预防此类安全风险,云安全中心提供容器集群的端口暴露分析功能,用于检测容器集群的公网端口信息。

说明

目前仅托管版与专有版容器集群ACK支持暴露分析功能。

  1. 执行暴露分析。

    集群暴露分析支持自动执行和手动执行方式:

    • 自动执行暴露分析:接入K8s集群后,云安全中心默认每日凌晨自动全量同步集群信息,并且自动对所有已接入集群执行暴露分析。

    • 手动执行暴露分析容器资产页面的集群页签,单击目标集群操作列的暴露分析

      image..png

  2. (可选)在容器资产页面右上角,单击任务管理。在任务管理面板的容器暴露页签,查看集群暴露分析任务进展和详情。

  3. 查看集群暴露分析结果。

    1. 容器资产页面,单击目前集群名称。

    2. 在集群详情页面,选择类型为容器,并设置过滤条件是否暴露

      image..png

    3. 移动鼠标到容器是否暴露image..png图标,查看该容器集群暴露的端口信息。

      如果您的容器集群暴露公网的端口无需使用,建议您及时关闭端口,减少安全风险。

镜像管理

查看镜像信息

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 容器资产

  3. 容器资产页面的镜像页签,查看镜像的相关信息。

    image..png

    • 查看总览信息

      在页面上方的总览区域,您可以查看存在风险的镜像数量、镜像安全扫描的剩余授权数等信息。

      • 剩余授权数区域单击增加授权,可增加镜像安全扫描授权数。具体操作,请参见升级与降配

      • 三方镜像仓接入区域单击可接入私有镜像仓,具体操作,请参见接入镜像仓库

    • 查看镜像仓列表

      镜像仓列表中展示了所有已接入资产中心的镜像仓。您可在镜像仓列表中查看镜像仓的名称、所在地域、镜像仓的类型以及风险状态等信息。

      • 搜索目标镜像仓

        您可使用镜像仓列表上方提供的搜索组件,通过镜像仓的实例ID、命名空间等信息查找目标镜像仓。

      • 查看目标镜像仓

        单击目标镜像仓的名称或者操作列的查看,进入该镜像仓的详情页面,可以查看该镜像仓中的所有镜像的镜像仓名称、版本、大小、风险状态等信息。在镜像仓的详情页面,单击目标镜像仓版本对应操作列的处理,可以查看或导出相关风险漏洞信息。

      • 同步ACR资产

        针对阿里云容器镜像服务ACR(Alibaba Cloud Container Registry)企业版,您可以单击目标镜像仓操作列的同步,开启ACR资产自动同步。开启后,在ACR新增的资产将自动更新至云安全中心镜像资产列表。

扫描容器镜像

云安全中心的镜像扫描功能,可以帮助您检测镜像是否存在镜像漏洞、基线风险、恶意样本和敏感文件,为您创造安全的镜像运行环境。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 容器资产

  3. 容器资产页面的镜像页签,单击容器镜像扫描区域的立即扫描

    image..png

  4. 一键扫描对话框,选择需要扫描的镜像类型,按需配置扫描范围,然后单击确定

    配置扫描范围的具体操作,请参见执行镜像安全扫描

  5. (可选)在容器资产页面右上角,单击任务管理。在任务管理面板的镜像扫描镜像修复容器运行时镜像扫描页签,查看镜像扫描和镜像修复信息。

相关文档

  • 容器资产全景功能从集群、容器、镜像、应用等资产维度为您提供安全可视化的管控能力和云上容器资产的网络拓扑,帮助您提升管理容器资产安全的效率。具体内容,请参见容器资产全景

  • 云安全中心提供了容器K8s威胁检测和容器防逃逸等容器安全能力,您可以通过开启对应功能为您的容器运行环境提供安全防护。具体内容,请参见容器防护设置

  • 容器签名可实现对容器镜像的可信签名,确保只允许部署您认可的容器镜像,防止未经签名授权的镜像启动,从根本上帮助您提升资产的安全性。具体内容,请参见容器签名

  • 云安全中心会检测镜像资产中存在的系统漏洞、应用漏洞、基线风险和恶意样本,并进行分类展示,您可以查看详细的安全风险并进行修复。具体内容,请参见查看扫描出的镜像风险及修复说明

  • 云安全中心的安全监控功能,提供监控和告警能力,包括恶意镜像启动、病毒和恶意程序的查杀、容器内部入侵行为、容器逃逸和高风险操作预警等主要的容器侧攻击行为。具体内容,请参见使用安全监控