全部產品
Search

搜尋本產品

    Security Center:容器資產管理

    文件中心

    Security Center:容器資產管理

    更新時間:Jan 03, 2025

    Security Center具備針對容器安全的一體化防護能力,支援針對容器的漏洞、配置合規、攻擊入侵等行為進行即時的檢測和防禦。將容器資產接入Security Center後,您可以通過Security Center統一管理容器資產。本文介紹如何查看容器資產中存在的安全風險。

    版本限制

    僅Security Center的旗艦版支援該功能,其他版本不支援。購買和升級Security Center服務的具體操作,請參見購買Security Center升級與降配

    前提條件

    同步最新資產

    查看容器資產資訊前,您需要先同步最新的容器資產資訊,確保將新接入的容器資產同步到Security Center資產列表。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇資產 > 容器資產

    3. 容器資產頁面的叢集仓库镜像頁簽,單擊同步最新资产

    4. (可選)在容器資產頁面右上方,單擊任務管理。在任務管理面板的容器資產同步鏡像資產同步頁簽,查看資產同步進展、狀態、詳情等資訊。

    叢集管理

    查看叢集資訊

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇資產 > 容器資產

    3. 容器資產頁面的叢集頁簽,查看已接入的叢集數、存在風險的叢集數和已接入的叢集列表。

      image..png

      • 搜尋目的地組群

        您可以使用叢集列表上方提供的搜尋組件,通過叢集ID、叢集類型等資訊尋找目的地組群。

      • 查看目的地組群風險詳情

        單擊目的地組群名稱或操作列的查看,進入該叢集的風險詳情頁面,可查看當前叢集內的安全警示、漏洞風險、基準風險和容器微隔離警示的統計資料和相應風險的列表資訊。

    叢集暴露分析

    如果您將容器連接埠暴露在公網上,可能會對您的業務造成網路攻擊、資料泄露等安全風險。為預防此類安全風險,Security Center提供容器叢集的連接埠暴露分析功能,用於檢測容器叢集的公網連接埠資訊。

    說明

    目前僅託管版與專有版容器叢集ACK支援暴露分析功能。

    1. 執行暴露分析。

      叢集暴露分析支援自動執行和手動執行方式:

      • 自動執行暴露分析:接入K8s叢集後,Security Center預設每日淩晨自動全量同步叢集資訊,並且自動對所有已接入叢集執行暴露分析。

      • 手動執行暴露分析容器資產頁面的叢集頁簽,單擊目的地組群操作列的暴露分析

        image..png

    2. (可選)在容器資產頁面右上方,單擊任務管理。在任務管理面板的容器暴露頁簽,查看叢集暴露分析任務進展和詳情。

    3. 查看叢集暴露分析結果。

      1. 容器資產頁面,單擊目前叢集名稱。

      2. 在叢集詳情頁面,選擇類型為容器,並設定過濾條件是否暴露

        image..png

      3. 移動滑鼠到容器是否暴露image..png表徵圖,查看該容器叢集暴露的連接埠資訊。

        如果您的容器叢集暴露公網的連接埠無需使用,建議您及時關閉連接埠,減少安全風險。

    鏡像管理

    查看鏡像資訊

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇資產 > 容器資產

    3. 容器資產頁面的仓库镜像頁簽,查看鏡像的相關資訊。

      image..png

      • 查看總覽資訊

        在頁面上方的總覽地區,您可以查看存在風險的鏡像數量、鏡像安全掃描的剩餘授權數等資訊。

        • 剩餘授權數地區單擊增加授权,可增加鏡像安全掃描授權數。具體操作,請參見升級與降配

        • 三方镜像仓接入地區單擊可接入私人鏡像倉,具體操作,請參見接入鏡像倉庫

      • 查看鏡像倉列表

        鏡像倉列表中展示了所有已接入資產中心的鏡像倉。您可在鏡像倉列表中查看鏡像倉的名稱、所在地區、鏡像倉的類型以及風險狀態等資訊。

        • 搜尋目標鏡像倉

          您可使用鏡像倉列表上方提供的搜尋組件,通過鏡像倉的執行個體ID、命名空間等資訊尋找目標鏡像倉。

        • 查看目標鏡像倉

          單擊目標鏡像倉的名稱或者操作列的查看,進入該鏡像倉的詳情頁面,可以查看該鏡像倉中的所有鏡像的鏡像倉名稱、版本、大小、風險狀態等資訊。在鏡像倉的詳情頁面,單擊目標鏡像倉版本對應操作列的處理,可以查看或匯出相關風險漏洞資訊。

        • 同步ACR資產

          針對阿里雲Container RegistryACR(Alibaba Cloud Container Registry)企業版,您可以單擊目標鏡像倉操作列的同步,開啟ACR資產自動同步。開啟後,在ACR新增的資產將自動更新至Security Center鏡像資產列表。

    掃描容器鏡像

    Security Center的鏡像掃描功能,可以協助您檢測鏡像是否存在鏡像漏洞、基準風險、惡意樣本和敏感檔案,為您創造安全的鏡像運行環境。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇資產 > 容器資產

    3. 容器資產頁面的仓库镜像頁簽,單擊容器鏡像掃描地區的立即掃描

      image..png

    4. 一鍵掃描對話方塊,選擇需要掃描的鏡像類型,按需配置掃描範圍,然後單擊確定

      配置掃描範圍的具體操作,請參見執行鏡像安全掃描

    5. (可選)在容器資產頁面右上方,單擊任務管理。在任務管理面板的鏡像掃描鏡像修復容器運行時鏡像掃描頁簽,查看鏡像掃描和鏡像修複資訊。

    相關文檔

    • 容器資產全景功能從叢集、容器、鏡像、應用等資產維度為您提供安全可視化的管控能力和雲上容器資產的網路拓撲,協助您提升管理容器資產安全的效率。具體內容,請參見容器資產全景

    • Security Center提供了容器K8s威脅檢測和容器防逃逸等容器安全能力,您可以通過開啟對應功能為您的容器運行環境提供安全防護。具體內容,請參見容器防護設定

    • 容器簽名可實現對容器鏡像的可信簽名,確保只允許部署您認可的容器鏡像,防止未經簽名授權的鏡像啟動,從根本上協助您提升資產的安全性。具體內容,請參見容器簽名

    • Security Center會檢測鏡像資產中存在的系統漏洞、應用漏洞、基準風險和惡意樣本,並進行分類展示,您可以查看詳細的安全風險並進行修複。具體內容,請參見查看掃描出的鏡像風險及修複說明

    • Security Center的安全監控功能,提供監控和警示能力,包括惡意鏡像啟動、病毒和惡意程式的查殺、容器內部入侵行為、容器逃逸和高風險操作預警等主要的容器側攻擊行為。具體內容,請參見使用安全監控