为需要难题 容器集群各种技术普及复杂环节 中带来震撼新的结构 的结构 安全需要需要难题 ，中关村关键信息安全测评未来联盟活动发起编制《及网络安全等级保护容器安全其首次提出》  ，并于2023年7月1日起采取。该文件对构成容器集群的各个抽象结构其首次提出的安全其首次提出  ，主要由诸如：

·管理其它平台：诸如集中管控、现实身份验证和授权机制、访问直接控制 、审计和日志记录、安全配置等；

·计算节点：诸如节点的安全配置、漏洞修补、安全监控和日志记录、访问直接控制 、策略迁移、恶意代码检查确认 等；

·集群及网络：诸如集群及网络的隔离、安全通信、访问直接控制 、异常流量数据分析等；

·容器镜像：诸如镜像的安全验证、安全配置、现实身份验证、漏洞修补、访问直接控制 等；

·镜像仓库：诸如镜像仓库的安全存储、安全验证、访问直接控制 等；

·容器运行时：诸如运行时的安全配置、行为比较审计、访问直接控制 和准入直接控制 等；

·容器状况：诸如容器状况监控、行为比较审计、容器隔离、异常检测等。

许多安全其首次提出从1到4级逐级可减少 ，对云服务方面 商、云安全服务方面 商、云采取方等角色定位人员提供了容器集群的安全指导  ，渡过难关 活动和制造企业可减少其容器生活环境的安全性  ，可减少潜在风险。

山石网科做为全球主流的云安全服务方面 商 ，最最新推出的云铠主机安全防护其它平台（如下简称山石云铠）。该其它平台基本框架CWPP框架体系 ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大环节出发  ，部分设计了资产梳理、微隔离、漏洞扫描、病毒查杀、行为比较规则、准入策略、入侵防护等基本功能  ，为容器集群人员提供可靠的安全防护需要难题 方案。

容器流量可视、精细化管控和智能数据分析

跟据《及网络安全等级保护容器安全其首次提出》其首次提出：

应可以实现多普通用户场景下容器实例两者之间、容器与宿主机两者之间、容器与与此与此同时主机两者之两者之间及网络访问直接控制 ；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠最大支持基本框架容器配置细粒度微隔离策略 ，可以实现容器实例两者之间、容器与宿主机两者之间、容器与与此与此同时及网络两者之两者之间精细化及网络流量访问直接控制  ，确保容器的通信仅限于授权和法律规定的流量。

与此诸如 ，山石云铠采取机器自努力学习各种技术构建容器的及网络安全基线 ，自动努力学习和数据分析容器的流量。当能发现容器的异常流量后 ，山石云铠是能及时识别并采取阻断措施。到于是  ，山石云铠人员提供安全透视镜基本功能  ，是能为安全管理人员直观的呈现容器集群的及网络互访两者之间画像  ，渡过难关 安全管理人员快速聚焦违规流量 ，及时采取安全数据分析和响应  ，并能 可减少容器集群的安全性。

容器镜像的合规检查确认 、漏洞扫描和病毒查杀

跟据《及网络安全等级保护容器安全其首次提出》其首次提出：

应确保容器镜像只采取安全的基本框架容器镜像  ，仅等等必要的软件工具包或组件 ，对不安全镜像采取告警  ，并可以实现拦截；

除基本框架其它平台组件外  ，应禁止业务容器实例采取特权普通用户和特权两种模式运行  ，采取特权普通用户运行容器行为比较采取告警并拦截；

应确保容器镜像修复超危、高危、中危及低危及网络安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像加进容器仓库。

山石云铠遵循安全基线合规具体标准  ，人员提供了对容器和镜像的合规性检查确认 基本功能。它是能检查确认 容器和镜像的配置文件、安全参数、组件状况、权限位置设置等多个各种技术各种技术层面  ，以确保其符合安全基线合规其首次提出  ，可减少潜在的合规风险。

诸如合规性检查确认 ，山石云铠还最大支持容器和镜像的漏洞扫描和病毒查杀基本功能。采取采取漏洞扫描 ，山石云铠是能及时识别和报告容器和镜像中已知的漏洞 ，以便普通用户及时修复。与此诸如 ，采取病毒查杀基本功能  ，它是能检测和清除容器和镜像里的潜在病毒文件 ，最有效预防黑客攻击。

容器运行的安全验证和准入直接控制

跟据《及网络安全等级保护容器安全其首次提出》其首次提出：

应在容器镜像创建或部署复杂环节 中集成扫描基本功能  ，最大支持对Dockerfile和容器镜像的及网络安全漏洞扫描  ，对不安全的镜像采取告警并阻断创建或部署流程。

山石云铠人员提供了灵活的准入直接控制 基本功能  ，使安全管理人员是能跟据容器/镜像的合规检查确认 到于是、Kubernetes应用标签、镜像漏洞扫描到于是等多个因素自定义容器的准入策略。采取准入策略  ，山石云铠在容器运行时采取采取安全验证。是能容器不符合设定的安全其首次提出  ，它是能自动采取告警或阻断容器的运行。的话 是能防止不符合安全其首次提出的容器即将进入运行状况  ，可减少容器集群的安全风险。

容器实例的入侵防护和响应处置

跟据《及网络安全等级保护容器安全其首次提出》其首次提出：

应监测对管理其它平台和容器实例的攻击行为比较并拦截 ，诸如容器逃逸、普通用户提权；

应对失陷容器采取响应处置  ，诸如关闭或细粒度隔离容器。

山石云铠人员提供了很强特别大入侵防御基本功能  ，内置的丰富入侵特征 ，是能检测到多种威胁  ，诸如web后门以此、反弹shell攻击、本地提权等常见攻击手法。诸如内置特征 ，山石云铠还最大支持跟据特定的条件满足 自定义入侵检测特征和规则  ，诸如基本框架命令行等特征条件满足 。普通用户是能跟据完善自身的无法市场需求和生活环境特点 ，灵活定义入侵检测规则  ，无法市场需求多样化的入侵防护无法市场需求。

是对能发现的威胁  ，山石云铠最大支持自动告警  ，及时通知安全管理人员能发现的入侵事件。与此诸如  ，山石云铠到于是能停用相关事件进程或容器  ，最有效阻断攻击的完善自身 扩散和影响较大。是对风险容器  ，山石云铠还最大支持基本框架微隔离各种技术采取隔离 ，限制其采取他容器和管理系统的影响较大  ，可减少整体呈现安全性。

容器状况的安全监控和风险阻断

跟据《及网络安全等级保护容器安全其首次提出》其首次提出：

应审计容器实例事件  ，诸如进程、文件、及网络等事件。

应监测容器实例运行复杂环节 里的恶意代码上传、手机下载、横向传播行为比较并拦截。

山石云铠人员提供了自定义Kubernetes应用努力学习时长的基本功能 ，允许普通用户跟据实际无法市场需求位置设置努力学习时长。在努力学习前夕  ，山石云铠会采取自动努力学习数据分析应就用 进程、文件和及网络行为比较 ，并生成相关事件的行为比较模型。安全管理人员是能快速将许多行为比较模型转化为行为比较规则  ，许多规则是能用于检测和识别不合规的行为比较  ，诸如异常文件小操作或可疑及网络通信等。能发现不合规行为比较后 ，山石云铠会自动采取告警、阻断或停用等手部动作  ，以确保容器集群的安全性。

容器安全日志的备份

跟据《及网络安全等级保护容器安全其首次提出》其首次提出：

应可以实现审计数据结果留存或备份  ，审计数据结果保存时间吧应符合法律法规其首次提出。

山石云铠最大支持与日志服务方面 器联动  ，将其它平台的安全日志定期备份到日志服务方面 器  ，无法市场需求安全数据结果保存时间吧的无法市场需求。

诸如为容器集群人员提供安全防护与此与此同时之外  ，山石云铠还最大支持为物理服务方面 器、虚拟机等云之外工作负载人员提供一站式的安全防护需要难题 方案  ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的制造企业业务生活环境构建统一的安全防护体系！