为各种问题解决容器集群传统技术 普及变化变化环节将给的的新安全各种问题解决  ，中关村关键信息安全测评第一阵容参与组织发起编制《以以及网络安全等级保护容器安全明确明确》  ，并于2023年7月1日起针对。该文件对构成容器集群的各个抽象结构明确明确了安全明确明确 ，主要其中包括包括环节：

·管理平台支持：环节集中管控、身分验证和授权机制、访问可以控制、审计和日志记录、安全配置等；

·计算节点：环节节点的安全配置、漏洞修补、安全监控和日志记录、访问可以控制、策略迁移、恶意代码仔细检查等；

·集群以以及网络：环节集群以以及网络的隔离、安全通信、访问可以控制、异常流量分析得出等；

·容器镜像：环节镜像的安全验证、安全配置、身分验证、漏洞修补、访问可以控制等；

·镜像仓库：环节镜像仓库的安全存储、安全验证、访问可以控制等；

·容器运行时：环节运行时的安全配置、犯罪行为审计、访问可以控制和准入可以控制等；

·容器从整体状态：环节容器从整体状态监控、犯罪行为审计、容器隔离、异常检测等。

很多安全明确明确从1到4级逐级从整体提高  ，对云服务提供商、云安全服务提供商、云针对方等其他角色提供更多了容器集群的安全指导 ，能够参与组织和型企业从整体提高其容器从整体环境的安全性 ，从整体提高潜在风险。

山石网科同样在中国主流的云安全服务提供商 ，率先推出好云铠主机安全防护平台支持（几方面简称山石云铠）。该平台支持认知基础CWPP框架体系 ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大环节出发  ，细节设计了资产梳理、微隔离、漏洞扫描、病毒查杀、犯罪行为规则、准入策略、入侵防护等基础功能  ，为容器集群提供更多可靠的安全防护各种问题解决方案。

容器流量可视、精细化管控和智能分析得出

依据《以以及网络安全等级保护容器安全明确明确》明确明确：

应基本实现多消费用户场景下容器实例相互、容器与宿主机相互、容器与并且 主机相互的以以及网络访问可以控制；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠不支持认知基础容器配置细粒度微隔离策略 ，基本实现容器实例相互、容器与宿主机相互、容器与并且 以以及网络相互的精细化以以及网络流量访问可以控制  ，确保容器的通信仅限于授权和第十七条的流量。

环节  ，山石云铠针对机器自研究学习传统技术 构建容器的以以及网络安全基线  ，自动研究学习和分析得出容器的流量。当意外发现容器的异常流量后 ，山石云铠也可及时识别并针对阻断措施。最后最后 ，山石云铠提供更多安全透视镜基础功能 ，也可为安全管理人员直观的呈现容器集群的以以及网络互访相互画像  ，能够安全管理人员快速聚焦违规流量  ，及时针对安全分析得出和响应  ，使其从整体提高容器集群的安全性。

容器镜像的合规仔细检查、漏洞扫描和病毒查杀

依据《以以及网络安全等级保护容器安全明确明确》明确明确：

应确保容器镜像只针对安全的认知基础容器镜像  ，仅其中包括包括必要的免费软件包或组件  ，对不安全镜像针对告警  ，并基本实现拦截；

除认知基础平台支持组件外  ，应禁止业务容器实例针对特权消费用户和特权模式一运行  ，针对特权消费用户运行容器犯罪行为针对告警并拦截；

应确保容器镜像修复超危、高危、中危及低危以以及网络安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码 ，对危险容器镜像告警并阻止该镜像再加入容器仓库。

山石云铠遵循安全基线合规其他标准  ，提供更多了对容器和镜像的合规性仔细检查基础功能。它也可仔细检查容器和镜像的配置文件、安全参数、组件从整体状态、权限增设等多个多个方面 ，以确保其符合安全基线合规明确明确  ，大幅减少潜在的合规风险。

环节合规性仔细检查  ，山石云铠还不支持容器和镜像的漏洞扫描和病毒查杀基础功能。针对针对漏洞扫描  ，山石云铠也可及时识别和报告容器和镜像中已知的漏洞  ，以便消费用户及时修复。环节  ，针对病毒查杀基础功能  ，它也可检测和清除容器和镜像中是潜在病毒文件 ，能有效预防黑客攻击。

容器运行的安全验证和准入可以控制

依据《以以及网络安全等级保护容器安全明确明确》明确明确：

应在容器镜像创建或部署变化变化环节集成扫描基础功能  ，不支持对Dockerfile和容器镜像的以以及网络安全漏洞扫描 ，对不安全的镜像针对告警并阻断创建或部署流程。

山石云铠提供更多了灵活的准入可以控制基础功能  ，使安全管理人员也可依据容器/镜像的合规仔细检查最后最后、Kubernetes应用标签、镜像漏洞扫描最后最后等多个因素自定义容器的准入策略。针对准入策略  ，山石云铠在容器运行时针对针对安全验证。也可容器不符合设定的安全明确明确 ，它也可自动针对告警或阻断容器的运行。那么也可防止不符合安全明确明确的容器开启运行从整体状态 ，从整体提高容器集群的安全风险。

容器实例的入侵防护和响应处置

依据《以以及网络安全等级保护容器安全明确明确》明确明确：

应监测对管理平台支持和容器实例的攻击犯罪行为并拦截 ，环节容器逃逸、消费用户提权；

应对失陷容器针对响应处置  ，环节关闭或细粒度隔离容器。

山石云铠提供更多了超强的入侵防御基础功能  ，内置的丰富入侵特征 ，也可检测到多种威胁  ，环节web后门多种渠道、反弹shell攻击、本地提权等常见攻击手法。环节内置特征 ，山石云铠还不支持依据特定的外部条件自定义入侵检测特征和规则  ，环节认知基础命令行等特征外部条件。消费用户也可依据自身能力的可以消费需求和从整体环境特点  ，灵活定义入侵检测规则  ，可以消费需求多样化的入侵防护可以消费需求。

事实上意外发现的威胁  ，山石云铠不支持自动告警 ，及时通知安全管理人员意外发现的入侵事件。环节 ，山石云铠还也可停用密切相关进程或容器  ，能有效阻断攻击的有待扩散和直接影响 。事实上风险容器  ，山石云铠还不支持认知基础微隔离传统技术 针对隔离  ，限制其针对他容器和管理系统的直接影响  ，从整体提高从整体安全性。

容器从整体状态的安全监控和风险阻断

依据《以以及网络安全等级保护容器安全明确明确》明确明确：

应审计容器实例事件 ，环节进程、文件、以以及网络等事件。

应监测容器实例运行变化变化环节是恶意代码上传、下载注册、横向传播犯罪行为并拦截。

山石云铠提供更多了自定义Kubernetes应用研究学习时长的基础功能  ，允许消费用户依据实际可以消费需求增设研究学习时长。在研究学习之前  ，山石云铠会针对自动研究学习分析得出应用上于进程、文件和以以及网络犯罪行为 ，并生成密切相关的犯罪行为模型。安全管理人员也可快速将很多犯罪行为模型转化为犯罪行为规则  ，很多规则也可用于检测和识别不合规的犯罪行为 ，环节异常文件模式一一 或可疑以以及网络通信等。意外发现不合规犯罪行为后 ，山石云铠会自动针对告警、阻断或停用等动作细节  ，以确保容器集群的安全性。

容器安全日志的备份

依据《以以及网络安全等级保护容器安全明确明确》明确明确：

应基本实现审计数据数据留存或备份  ，审计数据数据保存时间啊应符合法律法规明确明确。

山石云铠不支持与日志服务提供器联动 ，将平台支持的安全日志定期备份到日志服务提供器  ，可以消费需求安全数据数据保存时间啊的可以消费需求。

环节为容器集群提供更多安全防护并且 ，山石云铠还不支持为物理服务提供器、虚拟机等云工作后负载提供更多一站式的安全防护各种问题解决方案  ，覆盖私有云、公有云、混合云等多云场景 ，为复杂的型企业业务从整体环境构建统一的安全防护体系！