下图是容器安全服务的产品架构示意图。
容器安全服务 Agent
Agent 是一个常驻在云主机操作系统中的轻量化进程,部署在需要保护的宿主机上,主要功能是根据用户配置的安全策略上报容器运行时存在的安全风险等,本地镜像扫描、提供资产识别、镜像安全扫描、集群安全扫描、安全基线扫描、运行时入侵检测、容器网络策略配置等功能。同时响应用户和云端防护中心的指令,对容器上恶意攻击拦截进行拦截。
防护引擎
基于云平台的大数据处理能力,云端防护中心接收全网 Agent 上报的安全事件和威胁数据,通过云端的多个威胁识别模型,对每一条上报的安全事件进行分析,根据分析结果给 Agent 下发相关拦截和处理指令,云端防护中心是容器安全服务的中枢神经系统,相关安全威胁的识别算法依赖于云平台安全团队的运营和智能调优,云端防护中心同时保存用户自己创建的相关安全策略配置,满足用户个性化的安全防护需求。
云 API
提供给用户资产管理、漏洞管理、镜像安全管理、基线管理、运行时安全、容器网络策略等相关云 API 服务。
租户端控制台
提供给用户使用的网页版本控制台,主要功能包括安全概览、资产管理(容器、集群、进程端口、应用 Web 资产)、漏洞管理、镜像风险管理(本地镜像、仓库镜像、镜像拦截事件)、集群安全管理、基线管理、运行时安全、高级防御、策略管理(镜像拦截策略)、日志分析、告警设置等供用户操作和查看的功能,以及对应的云 SDK。