腾讯云容器安全服务如何配置安全策略

(1)用户进入【控制台】-【云安全】-【容器安全服务】-【策略管理】,可以帮助用户制定容器进程白名单和文件保护列表,从而提高容器运行时系统和应用的安全性

(2)添加策略

进程白名单:用户自定义。指容器内允许执行的程序文件路径,设置白名单能有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。输入框,输入程序文件路径。提示:请输入容器内允许执行的程序文件路径,以换行符相隔(不可重复),最多可以添加50个;
文件只读保护:用户自定义。指容器内需要只读保护的文件目录,设置文件保护列表能有效阻止文件篡改等安全风险事件的发生。输入框,输入只读文件完整路径。提示:请输入容器内只读的文件的完整路径,以换行符相隔(不可重复),最多可以添加50个

(3)关联镜像

将策略关联到镜像。在列表操作部分,点击关联镜像按钮,弹窗显示关联镜像按钮

防护列表
(1) 用户进入【控制台】-【云安全】-【容器安全服务】-【防护列表】,可在防护列表执行安装服务、管理防护和卸载服务操作。
 
(2)点击管理防护,管理对应节点
 
(3)配额防护页面,可以退订/续订
 
镜像安全
(1)用户进入【控制台】-【云安全】-【容器安全服务】-【镜像防护】,可以检测镜像存在的漏洞威胁并给出修复建议,帮助您得到一个安全纯净的镜像文件
 
(2)点击柱状图可以查看top10高危漏洞镜像详情,点击圆形图可以查看存在对应问题的镜像
 
(3)点击扫描(可分批或全部)排查安全问题

(4)点击告警扫描设置
 
可设置镜像安全的告警策略,设置存在漏洞的镜像、存在病毒的镜像、存在基线问题的镜像是否产生报警,在漏洞扫描中如果发现上述问题,会通过短信或邮件方式告知用户。
 
运行时安全
(1)用户进入【控制台】-【云安全】-【容器安全服务】-【运行时安全】,可以在此查看容器是否违反了安全策略或存在逃逸行为,并根据结果调整安全策略。检测内容包括容器逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境检测。
(2)可设置容器逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境检测这五种类型,设置后系统就会检测并通过短信或邮件方式发送告警信息给用户。
(3)点击pod隔离:可以隔离危险的POD,防止攻击东西向蔓延。