失陷容器隔离说明
最近更新时间: 2024-10-17 17:10:00
当用户业务环境中的容器遭遇攻击,例如发生容器逃逸、容器中了木马病毒或传播性较强的蠕虫病毒、容器失陷后对内发起横向探测或横向攻击、攻击者利用集群和节点等的漏洞或配置不当风险拉起恶意容器时,急需对相应的风险容器进行网络隔离。
说明:
隔离容器网络的操作可能会影响业务正常运行,建议您排查确认为风险容器、且需要隔离来避免入侵行为进一步恶化时使用该功能。
隔离容器网络
用户可在 [运行时安全]、[高级防御] 或 [资产管理] 使用隔离容器网络功能。在不同模块使用该功能的效果有所不同,具体如下表所示:
| 模块名称 | 功能详情 |
|---|---|
| 容器逃逸 | 在某个安全事件处隔离容器成功后,系统将禁止该容器的网络通信,并将该安全事件标记为已处理。 |
| 反弹 Shell | |
| 异常进程 | |
| 文件篡改 | |
| 高危漏洞系统 | |
| 文件查杀 | 由于仅隔离容器井不能清除容器木马病毒风险,所以在某个安全事件处隔窝容器成功后,系统将禁止该容器的网络通信,但并不会将该安全事件标记为已处理,用户仍需对容器内的木马病寿进行自动隔离或手动隔离来更改事件状态。 |
运行时安全或高级防御
登录 [容器安全服务控制台],在左侧导航中,单击运行时安全 > 容器逃逸。
在容器逃逸页面,选择所需容器,单击操作列的处理。
- 选择容器隔离,并填写备注,单击确定。
资产管理
在 [资产管理页面],单击容器。
在容器页面,选择所需容器,单击隔离容器。
- 在确认隔离弹窗中,单击确定,即可隔离该容器。
注意:
确认后,将隔离此容器,系统将禁止该容器的网络通信,请谨慎操作。
解除容器网络隔离
当用户对容器存在的风险处理完毕、需恢复容器网络通信时,可在 [运行时安全] 或 [高级防御] 的安全事件列表中,单击更多,选择解除隔离;或者在 [资产管理]> 容器,选择所需容器,单击解除隔离。
查看容器隔离状态
不论在 [运行时安全]、[高级防御] 或 [资产管理] 中隔离容器,容器隔离状态会作为容器资产属性之一进行刷新。例如在运行时安全 > 容器逃逸事件列表中对某一个容器进行网络隔离,隔离成功后,在资产管理 > 容器列表中查看该容器时,容器为已隔离。同理,在资产管理 > 容器列表中隔离容器网络,也会同步刷新运行时安全或高级防御的安全事件中的容器隔离状态。
用户可通过列表上方的全部容器隔离状态筛选框,对不同隔离状态的容器事件进行筛选。
