容器主動防禦功能從鏡像自身安全、運行時安全、運行環境安全多維度主動式偵測容器啟動或運行時存在的安全風險。通過配置相應規則,您可以攔截風險鏡像運行、停止不可信進程和阻斷容器逃逸行為,提升整體容器運行環境的安全水位。本文介紹如何配置風險鏡像阻斷、非鏡像程式防禦和容器防逃逸規則。
規則說明
您可以參考以下資訊,根據實際需要選擇對應的防禦規則。
規則類型 | 規則說明 |
風險鏡像阻斷 | 建立風險鏡像阻斷規則後,在指定叢集內使用鏡像建立資源時,Security Center會對鏡像進行安全校正,對命中風險鏡像阻斷規則的鏡像執行攔截、警示或允許存取動作,確保叢集內啟動的鏡像符合您的安全要求。 |
風險鏡像阻斷非鏡像程式防禦 | 建立非鏡像程式防禦規則後,Security Center可檢測並攔截鏡像外的程式啟動,主動防禦惡意軟體的入侵,協助您防禦已知或未知的攻擊模式。 |
容器防逃逸 | 容器防逃逸功能可以從進程、檔案、系統調用等多種維度檢測高風險行為,在容器與宿主機之間建立防護屏障,有效阻斷逃逸行為保障容器運行時安全。該功能可攔截攻擊者利用容器漏洞逃逸到宿主伺服器上的攻擊,有助於提升伺服器系統的安全性。 |
版本限制說明
僅Security Center的旗艦版支援該功能,其他版本不支援。購買和升級Security Center服務的具體操作,請參見購買Security Center和升級與降配。
風險鏡像阻斷
支援的叢集類型
風險鏡像阻斷功能目前僅支援Container Service for Kubernetes (ACK)的部分叢集類型,具體支援情況如下。
Container ServiceACK的叢集類型 | 是否支援 |
ACK託管叢集 | 支援 |
ACK專有版叢集 | 支援 |
ACK Serverless叢集 | 不支援 |
ACK邊緣託管版叢集 | 不支援 |
註冊叢集 | 不支援 |
規則原理
為叢集建立風險鏡像阻斷規則之後,當您在該叢集內使用鏡像建立資源時(如建立Pod),會觸發安全風險校正請求至Security Center,Security Center會按照該叢集的風險鏡像阻斷規則,校正該鏡像是否存在規則配置內的風險,對命中風險鏡像阻斷規則的鏡像,Security Center會對其執行警示、攔截或允許存取的操作,對於執行警示、攔截動作的鏡像,會產生一條關於該鏡像安全風險校正結果的警示事件。
同一叢集配置多條規則時,每條規則都會生效;命中多條規則時,會上報多條警示並執行相應操作。
如果您在同一規則內同時配置了多個配置項,命中任意一項配置後,Security Center會立即執行規則動作,不會繼續匹配其他配置項。規則內配置項匹配的順序依次為:未掃描鏡像、基準、互連網惡意鏡像、惡意樣本、漏洞、敏感檔案、存在構建風險。
前提條件
建立防禦規則前,請確保已在Container ServiceACK控制台安裝安全規則治理組件:gatekeeper、policy-template-controller和logtail-ds。具體操作,請參見步驟一:安裝或升級安全性原則管理組件。
建立規則
每個叢集最多支援建立40個防禦規則。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
選擇風險鏡像阻斷規則類型,單擊建立規則。
如果您已經為叢集建立了防禦規則,您還可以在已有的規則列表中通過複製規則快捷建立新的規則。您可以單擊已有規則操作列的複製,在複製規則面板上根據您的業務需要修改規則的配置,然後單擊確定,完成規則建立。
在建立規則面板,定義規則,然後單擊下一步。
配置項
說明
規則名稱
在下拉式清單中選擇規則模板並填寫規則的名稱。您可以選擇空白模板建立一組自訂配置項,也可以選用包含一組預定義風險配置項的模板。
規則描述
填寫規則的描述。
規則配置
支援以下規則配置,選中對應規則複選框代表開啟檢測,取消選中複選框代表關閉檢測。
未掃描鏡像:
開啟檢測後,支援檢測未經過鏡像安全掃描功能掃描的鏡像的啟動。
重要開啟該配置項時,建議先配置規則動作為警示。如有更嚴格的安全管控需求,可先觀察一段時間內的警示事件,確認該規則不會影響正常業務後再切換為攔截。
互連網惡意鏡像:
開啟檢測後,支援檢測在互連網上被標識為惡意的鏡像的啟動,例如從公開鏡像倉庫下載的惡意鏡像或從Dockerhub公開倉庫拉取的包含後門木馬等惡意程式的鏡像等。
基準:
開啟檢測後,支援檢測容器鏡像是否符合預定義的安全配置規範和最佳實務。
漏洞:
開啟檢測後,支援檢測在鏡像中存在的可能導致容器環境安全風險的漏洞,支援檢測鏡像中存在的應用程式相關的安全性漏洞。
惡意樣本:
開啟檢測後,對容器鏡像和容器運行時可能存在的惡意檔案、惡意代碼和惡意行為進行檢測。
敏感檔案:
開啟檢測後,支援檢測常見敏感檔案。
存在構建風險:
開啟檢測後,支援檢測鏡像構建指令風險。
重要鏡像命中對應規則後,會根據規則配置產生警示,並根據規則動作執行相應操作。
您可以按照業務需要,設定基準、漏洞、惡意樣本、敏感檔案和存在構建風險的具體檢測規則。
每一類規則配置項的可選條件之間為“或”的關係。例如在漏洞配置中,如果您配置風險等級為高危,並指定了一些具體的CVEID,那麼只要啟動的鏡像包含高危漏洞,或者包含您指定的CVEID漏洞,則會命中該規則。
規則動作
選擇命中已開啟檢測的規則後,Security Center的執行動作。可選項:
警示:鏡像啟動後,會在警報頁面產生一條規則動作為警示的事件。
攔截:鏡像啟動時,命中規則的鏡像將被阻止啟動,並且會在警報頁面產生一條規則動作為攔截的事件。
放行:鏡像啟動後,會在警報頁面產生一條規則動作為放行的警示。
加白名單
單擊+新增规则填寫需要加入白名單的鏡像tag名稱。最多可設定20個白名單。將鏡像加入規則白名單後,該鏡像啟動時,Security Center將不會對該鏡像進行安全風險的校正。
支援填寫部分關鍵字進行模糊比對。以鏡像地址
yundun-example-registry.cn-hangzhou.aliyuncs.com/yundun-example/yun-repo:test為例,您可以填寫部分關鍵字進行模糊比對。例如以下白名單配置方式均可以匹配到上述鏡像地址:yun-repotestyun-repo:testrepo:test
選擇防護範圍,然後單擊確定。
單擊叢集、鏡像或標籤頁簽,可切換到對應頁簽選擇需要防護的資產。
查看警示結果
建立風險鏡像阻斷規則後,在Security Center控制台的頁面,將警示類型選擇為風險鏡像阻斷,即可查看風險鏡像阻斷的相關警示。您可以單擊目標警示行動列的詳情,根據警示詳情頁面的处置建议,處理相關風險事件。
管理規則
建立風險鏡像阻斷規則後,您可以根據需要執行以下操作:
查看規則防護範圍
單擊目標防護規則防護範圍列的數字,即可在防護範圍面板查看該規則防護的叢集、鏡像和標籤範圍。
編輯規則
單擊目標防護規則操作列的編輯,即可在編輯規則面板修改該規則的定義和防護範圍。
複製規則
單擊目標防護規則操作列的複製,即可在複製規則面板上修改該規則的定義和防護範圍,快速建立一條新規則。
刪除規則
重要刪除規則後,對防護範圍內叢集的安全防護將失效並且該規則無法恢複,請謹慎操作。
單擊目標防護規則操作列的刪除,並在提示對話方塊,單擊确定删除,即可刪除該規則。
非鏡像程式防禦
在容器環境下,基礎軟體已包含在容器鏡像中,在容器運行過程中無需安裝和修改軟體。基於此情況,在容器運行期間來源於鏡像外的程式啟動屬於異常行為,該行為很可能是駭客植入木馬等惡意軟體。非鏡像程式防禦功能提供此類異常行為的檢測和攔截能力,為容器環境提供運行時安全防護。
規則生效的容器鏡像限制
規則中容器鏡像必須滿足以下要求,否則容器鏡像無法觸發對應的防禦規則和白名單規則。
容器中運行程式的完整路徑長度不超過1023個字元。
容器叢集的命名空間長度不超過287個字元。
容器中Security Center用戶端進程AliYunDun ≥ aegis_12_13,AliHips ≥ 00_43。
對於白名單規則中容器鏡像,還需確保對應容器鏡像名稱的長度不超過287個字元。
管理系統規則
規則啟用
Security Center預設提供非鏡像程式防禦系統規則,並且為未配置過非鏡像程式防禦自訂規則的使用者預設開啟系統規則。系統規則會為所有已接入Security Center的叢集開啟非鏡像程式啟動警示。
支援手動啟用或關閉系統規則。
規則動作
系統規則的規則動作為警示,即發生非鏡像程式啟動行為時,Security Center只提供警示,不攔截。
查看規則
您可以在Security Center控制台的頁面的非鏡像程式防禦規則的系统规则頁簽下,查看非鏡像程式防禦系統規則。
規則更新
支援修改系統規則生效的叢集範圍。如果叢集有變更或者新增叢集資產時,系統規則會自動將新增叢集加入防護範圍。
規則使用
初次使用非鏡像程式防禦功能時,建議您充分觀察系統規則警示是否存在誤判。
系統規則不支援設定白名單,也不支援攔截風險行為。如果您需要設定白名單或攔截風險行為,您可以建立自訂規則。
建立自訂規則後,系統規則會被自動關閉且不支援再次開啟。如需開啟系統規則,需要刪除所有自訂規則。
建立自訂規則
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
在規則類型列表處,單擊非鏡像程式防禦。
在自定义规则頁簽,單擊建立規則。
在建立規則面板,定義規則,然後單擊下一步。
配置項
說明
規則名稱
輸入規則名稱。
規則描述
輸入規則描述。
開關狀態
開啟或關閉規則。可選項:
開啟:該規則建立後為開啟狀態,會自動防護在防護範圍內的叢集。
關閉:該規則建立後為關閉狀態,防護規則不生效。
防禦動作
選擇規則的防禦動作。可選項:
警示:Security Center識別到不可信進程時,只產生警示。
拦截:Security Center識別到不可信進程時,產生警示並攔截對應進程。
說明建議您先開啟警示模式。在確定正常情況下業務不會在容器運行期間安裝並啟動不屬於鏡像的可執行程式後,再開啟攔截模式,以避免誤攔截正常進程。
加文件目录白名单
單擊+新增規則,輸入需要加白名單的檔案目錄。配置樣本:
/user/name1。加镜像白名单
單擊+新增規則,輸入需要加白名單的鏡像名。以鏡像地址
yundun-example-registry.cn-hangzhou.aliyuncs.com/yundun-example/yun-repo:test為例,您可以填寫部分關鍵字進行模糊比對。以下白名單配置方式均有效:yun-repotestyun-repo:testrepo:test
單擊確定,確認建立自訂規則,系統將自動關閉系統規則。
選擇當前規則生效的叢集,單擊確定。
支援選擇已接入Security Center的叢集。一個叢集只支援配置一個防禦規則,如果某叢集已屬於其他規則的防護範圍內,您將無法再次選擇該叢集。
查看警示結果
建立並開啟非鏡像程式防禦規則後,在Security Center控制台的頁面,將警示類型選擇為容器主動防禦,警示名稱為非鏡像程式啟動的警示即為非鏡像程式防禦功能產生的警示。根據規則配置的防禦動作分別產生以下警示:
防禦動作為警示的規則產生的安全警示為未處理狀態,建議您及時處理相關警示。具體操作,請參見查看和處理安全警示。
防禦動作為拦截的規則產生的警示為目標進程不存在或結束進程成功狀態,Security Center已自動處理了此類警示,您可以在已處理警示列表中查看此類警示。以下是兩種狀態的說明:
目標進程不存在:表示該進程存活時間較短,在Security Center處置前已停止運行,無需再處理。
結束進程成功:表示Security Center已攔截該進程的運行,無需您手動處理。
管理規則
建立規則後,在非鏡像程式防禦的規則列表中,您可以根據需要執行以下操作:
查看規則防護範圍
單擊目標防護規則防護範圍列的數字,即可在防護範圍面板查看該規則防護的叢集範圍。
啟用或禁用規則
開啟或關閉目標規則啟用開關列的開關,可以開啟或關閉該規則。
編輯規則
單擊目標規則操作列的編輯,自訂規則支援修改規則名稱、規則描述、開關狀態、防禦動作、白名單設定和防護範圍。
刪除規則
重要系統規則不支援刪除。
規則刪除後不可恢複,請您確認無需使用該規則後,再執行刪除操作。
單擊目標規則操作列的刪除,並在提示對話方塊,單擊確定,刪除該規則。
容器防逃逸
容器情境中由於容器與宿主伺服器共用作業系統核心(安全容器除外),攻擊者可利用容器漏洞提升許可權實現對宿主伺服器系統或其他容器的存取控制,影響整個系統安全性。通過配置容器防逃逸規則您可以有效阻斷逃逸行為,保障容器運行時安全。
支援的叢集類型
該功能僅支援檢測同時滿足以下條件的叢集:
叢集所在伺服器已接入Security Center。
ACK託管叢集、ACK專有叢集或已接入Security Center的自建K8s叢集。
前提條件
管理系統規則
規則啟用
Security Center提供多種容器防逃逸規則,預設情況下,所有已接入Security Center的叢集全量開啟容器防逃逸規則,Security Center預設開啟的容器防逃逸規則統稱為系統規則。
支援手動啟用或關閉系統規則。
規則動作
系統規則的規則動作為警示,即當發生逃逸行為時系統規則只警示,不攔截逃逸行為。
查看規則
您可以在Security Center控制台頁面容器防逃逸規則的系统规则頁簽下,查看系統規則的詳細資料。
規則更新
支援修改系統規則生效的叢集範圍。如果叢集有變更或者新增叢集資產時,系統規則會自動將新增叢集加入防護範圍。
規則使用
初次使用容器防逃逸功能時,建議您在系統規則下充分觀察警示是否有誤判。在確認無誤判時,您可以將規則動作變更為攔截。
系統規則不支援設定白名單,也不支援攔截風險行為。如果您需要設定白名單或攔截風險行為,您可以建立自訂規則。
建立指定規則的自訂規則後,對應的系統規則會自動關閉。
建立自訂規則
自訂規則和系統規則可選擇的規則是相同,自訂規則支援配置白名單和攔截風險操作。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
在規則類型列表處,單擊容器防逃逸。
在自定义规则頁簽,單擊建立規則。
在建立規則面板,定義規則,單擊下一步。
配置項
說明
規則名稱
輸入規則名稱。
規則類型
在下拉式清單中選擇規則類型。
您可以根據防護需求,在Security Center提供的規則類型中選擇所需類型。
選擇規則類型後,預設選中該類型支援的所有檢測項。如果您不需要開啟指定檢測項,您可以取消選中該檢測項的複選框。
請在控制台查看支援選擇的規則類型和檢測項詳情。
防禦動作
選擇防禦動作。可選項:
警示:Security Center識別到規則中定義的風險時,只產生警示。
拦截:Security Center識別到規則中定義的風險時,產生警示並攔截對應進程或操作。
重要在某些正常業務情境下可能會觸發規則。配置規則時,建議您在警示模式下充分觀察後,再為該規則開啟攔截模式。
加白名單
單擊+新增规则填寫需要加入白名單的鏡像名。最多可設定20個白名單。
支援填寫部分關鍵字進行模糊比對。以鏡像地址
yundun-example-registry.cn-hangzhou.aliyuncs.com/yundun-example/yun-repo:test為例,您可以填寫部分關鍵字進行模糊比對。以下白名單配置方式均有效:yun-repotestyun-repo:testrepo:test
重要將鏡像加入規則白名單後,Security Center不會對該鏡像檢查逃逸行為,請您謹慎操作。
完成該步驟後,Security Center已在規則列表中建立對應規則。
選擇需要防護的叢集,並單擊確定。
支援選擇已接入Security Center防護的叢集。如果您需要防護K8s自建叢集,請先將自建叢集接入Security Center。具體操作,請參見接入K8s自建叢集。
查看警示結果
建立並開啟容器防逃逸規則後,在Security Center控制台的頁面,將警示類型選擇為容器防逃逸,即可查看容器防逃逸功能相關警示。根據容器防逃逸規則配置的防禦動作分別產生以下警示:
防禦動作為警示的規則產生的安全警示為未處理狀態,建議您及時處理相關警示。具體操作,請參見查看和處理安全警示。
防禦動作為拦截的規則產生的警示為拦截成功狀態,表示Security Center已自動攔截逃逸行為,無需您手動處理。
管理規則
查看規則防護範圍
單擊目標防護規則防護範圍列的數字,即可在防護範圍面板查看該規則防護的叢集範圍。該面板的可攔截狀態列是指叢集所在伺服器的Security Center外掛程式狀態,只有外掛程式狀態正常規則才能對叢集生效。通過在功能設定頁面為叢集所在伺服器開啟惡意主機行為防禦或网站后门连接防御開關,可以使外掛程式狀態變為正常。開啟相應開關的具體操作,請參見主機防護設定。
啟用或禁用規則
開啟或關閉目標規則啟用開關列的開關,可以開啟或關閉該規則。
編輯規則
單擊目標規則操作列的編輯,可以修改規則名稱、規則類型、開關狀態、防禦動作和防護範圍。編輯後的規則10分鐘後生效,請耐心等待。
刪除規則
重要系統規則不支援刪除。
規則刪除後不可恢複,請您確認無需使用該規則後,再執行刪除操作。
單擊目標規則操作列的刪除,並在提示對話方塊,單擊確定,刪除該規則。