为当然最终解决容器集群新型技术普及实践中中能给新的内容的内容安全当然最终解决  ，中关村数据信息安全测评第一阵容组织一发起编制《以以及网络安全等级保护容器安全没有给出 》  ，并于2023年7月1日起采取。该文件对构成容器集群的各个抽象结构没有给出 了安全没有给出  ，二是例如：

·管理新平台：例如集中管控、政治身份验证和授权机制、访问控制中、审计和日志记录、安全配置等；

·计算节点：例如节点的安全配置、漏洞修补、安全监控和日志记录、访问控制中、策略迁移、恶意代码全面检查等；

·集群以以及网络：例如集群以以及网络的隔离、安全通信、访问控制中、异常流量及分析等；

·容器镜像：例如镜像的安全验证、安全配置、政治身份验证、漏洞修补、访问控制中等；

·镜像仓库：例如镜像仓库的安全存储、安全验证、访问控制中等；

·容器运行时：例如运行时的安全配置、行为形成审计、访问控制中和准入控制中等；

·容器稳定状态：例如容器稳定状态监控、行为形成审计、容器隔离、异常检测等。

这类安全没有给出 从1到4级逐级整体表现提高  ，对云产品服务商、云安全产品服务商、云采取方等人物角色提供全面了容器集群的安全指导  ，利用技术组织一和企业多方面整体表现提高其容器坏境的安全性  ，整体表现提高潜在风险。

山石网科之一在中国主流的云安全产品服务商  ，即将推出三云铠主机安全防护新平台（下面简称山石云铠）。该新平台基于CWPP框架体系 ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大实践中出发  ，设计方式了资产梳理、微隔离、漏洞扫描、病毒查杀、行为形成规则、准入策略、入侵防护等功能方面  ，为容器集群提供全面可靠的安全防护当然最终解决方案。

容器流量可视、精细化管控和智能及分析

根据下面《以以及网络安全等级保护容器安全没有给出 》没有给出 ：

应能实现多终端用户场景下容器实例相互之间之间、容器与宿主机相互之间之间、容器与当然主机相互之间之相互之间之间以以及网络访问控制中；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠全面支持 基于容器配置细粒度微隔离策略  ，能实现容器实例相互之间之间、容器与宿主机相互之间之间、容器与当然以以及网络相互之间之相互之间之间精细化以以及网络流量访问控制中  ，确保容器的通信仅限于授权和第十七条的流量。

当然如此如此  ，山石云铠采取机器自努力学习新型技术构建容器的以以及网络安全基线  ，自动努力学习和及分析容器的流量。当看到容器的异常流量后  ，山石云铠也可及时识别并采取阻断措施。然后  ，山石云铠提供全面安全透视镜功能方面 ，也可为安全管理人员直观的呈现容器集群的以以及网络互访相互之间画像  ，利用技术安全管理人员快速聚焦违规流量  ，及时采取安全及分析和响应  ，因而整体表现提高容器集群的安全性。

容器镜像的合规全面检查、漏洞扫描和病毒查杀

根据下面《以以及网络安全等级保护容器安全没有给出 》没有给出 ：

应确保容器镜像只采取安全的基于容器镜像  ，仅其中包括包括必要的各种软件包或组件  ，对不安全镜像采取告警  ，因而实现拦截；

除基于新平台组件外  ，应禁止业务容器实例采取特权终端用户和特权全新模式运行 ，采取特权终端用户运行容器行为形成采取告警并拦截；

应确保容器镜像修复超危、高危、中危及低危以以及网络安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像立即加入容器仓库。

山石云铠遵循安全基线合规参照标准  ，提供全面了对容器和镜像的合规性全面检查功能方面。它也可全面检查容器和镜像的配置文件、安全参数、组件稳定状态、权限不设置等多个更强大方面  ，以确保其符合安全基线合规没有给出  ，增加潜在的合规风险。

例如合规性全面检查  ，山石云铠还全面支持 容器和镜像的漏洞扫描和病毒查杀功能方面。采取采取漏洞扫描  ，山石云铠也可及时识别和报告容器和镜像中已知的漏洞  ，以便终端用户及时修复。当然如此如此 ，采取病毒查杀功能方面  ，它也可检测和清除容器和镜像实践中潜在病毒文件 ，非常有效预防黑客攻击。

容器运行的安全验证和准入控制中

根据下面《以以及网络安全等级保护容器安全没有给出 》没有给出 ：

应在容器镜像创建或部署实践中中集成扫描功能方面  ，全面支持 对Dockerfile和容器镜像的以以及网络安全漏洞扫描  ，对不安全的镜像采取告警并阻断创建或部署流程。

山石云铠提供全面了灵活的准入控制中功能方面 ，使安全管理人员也可根据下面容器/镜像的合规全面检查然后、Kubernetes应用标签、镜像漏洞扫描然后等多个因素自定义容器的准入策略。采取准入策略 ，山石云铠在容器运行时采取采取安全验证。也可容器不符合设定的安全没有给出  ，它也可自动采取告警或阻断容器的运行。所以也可防止不符合安全没有给出 的容器正式进入运行稳定状态  ，整体表现提高容器集群的安全风险。

容器实例的入侵防护和响应处置

根据下面《以以及网络安全等级保护容器安全没有给出 》没有给出 ：

应监测对管理新平台和容器实例的攻击行为形成并拦截  ，例如容器逃逸、终端用户提权；

应对失陷容器采取响应处置  ，例如关闭或细粒度隔离容器。

山石云铠提供全面了更强很大入侵防御功能方面  ，内置的丰富入侵特征  ，也可检测到多种威胁 ，例如web后门多种渠道、反弹shell攻击、本地提权等常见攻击手法。例如内置特征  ，山石云铠还全面支持 根据下面特定的条件一自定义入侵检测特征和规则  ，例如基于命令行等特征条件一。终端用户也可根据下面多方面的更满足 和坏境特点 ，灵活定义入侵检测规则  ，更满足 多样化的入侵防护更满足 。

来说看到的威胁  ，山石云铠全面支持 自动告警  ，及时通知安全管理人员看到的入侵事件。当然如此如此  ，山石云铠还也可停用其它相关进程或容器 ，非常有效阻断攻击的下一步扩散和能给影响。来说风险容器  ，山石云铠还全面支持 基于微隔离新型技术采取隔离  ，限制其采取他容器和该系统的能给影响  ，整体表现提高整体表现安全性。

容器稳定状态的安全监控和风险阻断

根据下面《以以及网络安全等级保护容器安全没有给出 》没有给出 ：

应审计容器实例事件  ，例如进程、文件、以以及网络等事件。

应监测容器实例运行实践中实践中恶意代码上传、下载安装、横向传播行为形成并拦截。

山石云铠提供全面了自定义Kubernetes应用努力学习时长的功能方面 ，允许终端用户根据下面实际更满足 不设置努力学习时长。在努力学习时间里  ，山石云铠会采取自动努力学习及分析应使用时进程、文件和以以及网络行为形成  ，并生成其它相关的行为形成模型。安全管理人员也可快速将这类行为形成模型转化为行为形成规则 ，这类规则也可用于检测和识别不合规的行为形成  ，例如异常文件操作全新模式 或可疑以以及网络通信等。看到不合规行为形成后  ，山石云铠会自动采取告警、阻断或停用等连续动作  ，以确保容器集群的安全性。

容器安全日志的备份

根据下面《以以及网络安全等级保护容器安全没有给出 》没有给出 ：

应能实现审计其他数据留存或备份  ，审计其他数据保存时间啊应符合法律法规没有给出 。

山石云铠全面支持 与日志产品服务器联动  ，将新平台的安全日志定期备份到日志产品服务器 ，更满足 安全其他数据保存时间啊的更满足 。

例如为容器集群提供全面安全防护当然  ，山石云铠还全面支持 为物理产品服务器、虚拟机等云工作任务负载提供全面一站式的安全防护当然最终解决方案  ，覆盖私有云、公有云、混合云等多云场景 ，为复杂的企业多方面业务坏境构建统一的安全防护体系！