产品介绍
最近更新时间: 2024-10-17 17:10:00
概述
容器安全服务(Tencent Container Security Service, TCSS)提供容器资产管理、镜像安全、运行时入侵检测、安全基线等安全服务,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。 容器安全服务提供多项安全特性,包含:资产管理、镜像安全、运行时安全、基线合规、低资源占用特性。资产管理,提供自动化资产清点,包括容器、镜像、镜像仓库、主机等关键资产信息,帮助企业实现资产可视化。镜像安全,针对镜像、镜像仓库提供一键检测,支持漏洞、木马病毒、可信镜像等多维度安全扫描。运行时安全,自适应识别黑客攻击,实时监控和防护容器运行时安全,提供入侵检测、容器逃逸、进程黑白名单、文件访问控制等安全功能。基线合规,基于 CIS Benchmark 的 Docker、Kubernetes 最佳安全实践,提供一键检测和专业修复方案。低资源占用,一键部署轻量级 Agent,高性能,低占用 CPU/内存,兼容多个主流操作系统。
版本介绍
容器安全服务主要功能版本介绍:
| 分类 | 类别 | 详细描述 | |
|---|---|---|---|
| 安全概览 | 安全概览 | 以可视化的图形、图表等方式展示资产信息(容器、镜像、主机)、漏洞风险、集群风险、待处理安全事件数量、运行时安全事件新增趋势、本地镜像新增风险趋势及详情 | |
| 资产中心 | 资产管理 | 支持自动化统计容器、镜像、主机、进程端口、应用 Web 资产、运行应用、数据库应用等资产基本信息。 | |
| 安全加固 | 漏洞管理 | 漏洞管理模块支持对容器环境中的镜像漏洞开展一键检测,为漏洞应急响应及漏洞运营场景提供更好体验。根据实际处理及漏洞响应类型,将漏洞划分为两类,分别是:应急漏洞、系统漏洞、Web应用漏洞。 (1)应急漏洞:支持按威胁等级、风险情况、是否可修复、风险标签、CVE编号、影响镜像名称/ID、漏洞组件名称和版本号筛选漏洞;扫描后,支持展示应急漏洞的披露时间、最新检测时间、影响本地镜像、影响仓库镜像和影响容器等。 (2)系统漏洞&Web应用漏洞:支持按影响资产紧急度和关注紧急度快速筛选漏洞,例如仅展示影响容器的漏洞、仅展示影响最新版本的镜像、重点关注、高危及严重、远程EXP等。同时关联漏洞影响的本地镜像、仓库镜像、容器等资产数据。 |
|
| 镜像风险管理 | 本地镜像 | 支持定时扫描、一键扫描本地镜像获取镜像资产基本信息及镜像安全风险详情,并对业务环境存在风险的镜像总数、安全漏洞、木马病毒、敏感信息进行汇总 | |
| 仓库镜像 | 支持定时扫描、一键扫描仓库镜像获取镜像资产基本信息及镜像安全风险详情,并对业务环境存在风险的镜像仓库总数、安全漏洞、木马病毒、敏感信息进行汇总 | ||
| 镜像拦截 | 用户可在“策略管理-镜像拦截策略”页面配置告警和拦截策略,如策略立即生效,则目标风险镜像启动容器时,将实时拦截镜像启动行为并上报事件记录;如策略配置了观察期,观察期仅告警不拦截,则目标风险镜像启动容器时,将实时上报镜像启动行为记录。两种情况均会产生事件记录 | ||
| 集群风险管理 | 集群检查 | 支持自动检查、手动检查获取集群资产基本信息及其存在的配置和漏洞风险,并对业务环境中存在风险的集群及每个集群存在的风险数据进行汇总 | |
| 风险分析 | 支持按严重、高危、中危、低危对存在风险的集群节点进行统计,并按检查项对受影响的集群数、受影响的节点数进行统计 | ||
| 基线管理 | 支持CIS Benchmark基线检查标准,检测Docker及kubernetes安全基线,并对业务环境中合规容器占比、严重检查项、高危检查项、中危检查项、低危检查项进行统计; 基线检测结果包括基线检测项、类型、基线标准、威胁等级、检测结果、检测项详情等,检测对象包括容器、镜像、主机和kubernetes; 支持用户自定义安全基线检测周期和检测时间、配置基线忽略项 |
||
| 入侵防御 | 运行时安全 | 容器逃逸 | 支持实时检测容器内存在的敏感路径挂载、特权容器、提权事件、逃逸漏洞利用、访问Docker API接口逃逸、篡改敏感文件逃逸、利用cgroup机制逃逸等行为,并自定义开启/关闭检测规则; 支持按风险容器、程序提权、容器逃逸等对告警事件进行分类,明确区分存在风险的容器和容器逃逸行为; 告警信息包括:逃逸事件类型、首次生成时间、最近生成时间、事件数量、容器名称/ID、镜像名称/ID、节点名称、POD名称等,同时告警详情提供事件描述、解决方案、进程信息、父进程信息、祖先进程信息等详情 |
| 反弹shell | 支持实时检测容器内存在的反弹shell行为并产生告警,告警信息包括:进程名称、父进程名称、目标地址、进程路径、首次生成时间、最近生成时间、事件数量、容器名称/ID、镜像名称/ID等,同时告警详情提供进程和父进程详细信息; 支持用户对告警事件加白处理,或按目标地址(IP、端口)、连接进程和生效镜像范围自定义新增白名单 |
||
| 文件查杀 | 支持实时检测容器运行时存在的木马病毒并产生告警,告警信息包括文件名称、文件路径、病毒名称、首次生成时间、最近生成时间、容器名称/ID、镜像名称/ID、容器状态等,同时告警详情提供恶意文件详情、事件详情、解决方案、进程、父进程、祖先进程等详细信息; 支持实时监控、一键扫描和定时扫描容器内恶意文件;同时支持客户自定义开启自动隔离恶意文件开关 |
||
| 恶意外连 | 支持实时检测容器外连恶意域名的行为并产生告警,告警信息包括事件类型、请求域名、容器名称/容器ID/运行状态/容器隔离状态、镜像名称/ID、主机名称/IP、首次生成时间、最近生成时间、请求次数等,同时告警详情提供恶意域名详情、事件详情、解决方案、进程、父进程、祖先进程等详细信息。当发现容器存在访问恶意域名/IP的行为时,您的容器可能已经失陷,因为恶意域名/IP可能是黑客的远控服务器、恶意软件下载源、矿池地址等,建议及时进行排查 | ||
| 高级防御 | 异常进程 | 支持实时检测容器内存在的进程异常启动行为并告警通知或拦截异常进程。告警信息包括:进程路径、命中规则、首次生成时间、最近生成时间、事件数量、容器名称/ID、镜像名称/ID、动作执行结果等,同时告警详情提供进程和父进程详细信息; 异常进程系统策略至少包括代理软件、横向渗透、恶意命令、反弹shell、无文件程序执行、高危命令、敏感服务异常子进程启动等; 支持用户对告警事件加白处理,或按进程路径和生效镜像范围自定义新增进程放行规则; 支持用户自定义新增进程检测规则,配置内容包括规则名称、进程路径、执行动作(拦截、告警、放行)和生效镜像范围 |
|
| 文件篡改 | 支持实时检测容器内存在的文件篡改行为并告警通知或拦截异常访问。告警信息包括:文件名称、进程路径、命中规则、首次生成时间、最近生成时间、事件数量、容器名称/ID、镜像名称/ID、动作执行结果等。同时告警详情提供进程和被篡改文件详细信息; 文件篡改系统策略至少包括篡改计划任务、篡改系统程序、篡改用户配置等规则; 支持用户对告警事件加白处理,或按进程路径、被访问文件路径和生效镜像范围自定义新增放行规则; 支持用户自定义新增访问控制规则,配置内容包括规则名称、进程路径、被访问文件路径、执行动作(拦截、告警、放行)和生效镜像范围 |
||
| 高危系统调用 | 支持实时检测容器内存在的高危系统调用行为并产生告警,告警信息包括:进程路径、系统调用名称、首次生成时间、最近生成时间、事件数量、容器名称/ID、镜像名称/ID、节点名称、POD名称等,同时告警详情提供进程和父进程详细信息; 支持用户对告警事件加白处理,或按进程路径、系统调用名称和生效镜像范围自定义新增白名单 |
||
| K8s API异常请求 | 支持实时监控集群 API 异常请求行为,包括系统策略和用户自定义策略两部分。 系统规则:基于腾讯云安全技术及多维度多种手段,通过“匿名访问”“异常 UA 请求”“匿名用户权限变动”“凭据信息获取”“敏感路径挂载”“命令执行”“异常定时任务”“静态 pod 创建”“可疑容器创建”等共9个规则类型,对集群API异常请求行为进行全方位监测。 用户自定义规则:支持自定义 K8s API 异常请求字段,及具体生效范围,更加灵活贴近实际业务需求 |
||
| 策略配置 | 策略管理 | 镜像拦截策略 | 用户可在“策略管理-镜像拦截策略”页面配置告警和拦截策略。镜像拦截策略支持您对存在严重安全问题的镜像进行容器启动拦截,避免恶意镜像运行容器业务。支持拦截的镜像类型:存在严重&高危漏洞、木马病毒、敏感信息风险的镜像,特权模式启动镜像 |
| 安全运营 | 日志分析 | 支持按时间、日志类型、日志内容等自定义检索容器bash日志、容器启动审计日志、kubernetes API审计日志,并按检索结果展示日志趋势图; 支持自定义日志的展示字段和隐藏字段,查看json格式日志,并支持导出日志; 日志配置:支持自定义配置容器bash日志、容器启动审计日志和kubernetes API审计日志是否开启日志审计,以及按照日志类型自定义节点是否开启审计;支持按百分比和存储天数清理日志 |
|
| 设置中心 | 告警设置 | 可点击告警状态开关开启或关闭镜像安全事件和运行时安全事件告警,镜像安全事件包含本地镜像和仓库镜像的安全漏洞、木马病毒、敏感信息事件,运行时安全事件包括容器逃逸、异常进程、文件篡改等运行时事件 |