¶ 安全概览
💡 重要提示 : 此功能是 团队版/企业版 专属功能,如需使用请升级套餐
数据大屏实时展现容器安全数据概览详细信息,旗舰版提供安全数据分析报告下载。
¶ 🎯 使用指引
点击 /安全概览 进入数据看版页面,此看版展示当前组织下重点数据的统计数据。
支持查看当前版本信息、实时告警、资产数据、入侵事件、风险事件数据。
单击数据可进入对应的列表页面
¶ 网络拓扑
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台对云原生集群环境中网络流量进行抓取,打破流量访问模糊壁垒,支持对整个集群网络进行监测。
支持自动发现集群中工作负载、Service之间的网络连接,同时支持监控内/外网流量连接,并提供命名空间综合全局视角。
点击 /网络拓扑 进入集群网络拓扑功能页面,默认访问拓扑展示。
拓扑图提供集群内命名空间与工作负载、Service资产对象,并采用箭头标识网络流量走向,拓扑图左下角支持对画布进行放大缩小操作,同时支持查看指定资源对象的焦点视图。
页面右上方支持切换到列表展示,此页面提供详细的流量访问数据。
¶ 资产清点
¶ 📌 镜像
在业务场景前置阶段,镜像构建的自由性及容器的多样化、网络的复杂化导致资产梳理变得困难。牧云·容器安全平台将主动进行资产清点并在网络正常的前提下保证实时更新,清点目标服务器上镜像详细资产全貌,关联资产风险,提供最新的资产清点结果。
¶ 🎯 使用指引
点击 /资产清点/镜像 进入镜像资产页面,此页面列表展示探针扫描获取的资产详情。
支持切换镜像视角、主机视角、仓库视角、集群视角,便于查看某一节点上/某一仓库中所有镜像的基本情况。
单击一条数据可进入镜像详情页面,镜像详情包括三大模块:基础信息、镜像层分析和风险信息,点击不同的风险即可跳转到对应的风险列表进行查看。
¶ 📌 容器
容器资产清点功能覆盖容器内各类资产的全面清点,提供可视化详情列表进行查看,关联每个容器资产存在的风险情况。
资产列表显示
- 提供全面的资产列表
- 为资产关联存在安全风险,精准定位
- 提供多视角查看视图,满足业务各场景需要
- 支持查看各类状态下容器情况
资产详情查看
- 详细检测容器基础信息
- 清点容器数据挂载、进程、端口、网络信息
- 提供容器风险信息关联查看
¶ 🎯 使用指引
点击 /资产清点/容器 进入容器资产页面,此页面列表展示探针扫描获取的资产详情。
支持切换容器视角、主机视角和集群视角,便于查看某一节点上所有容器的基本情况。
单击一条数据可进入容器详情页面,容器详情包括多个模块:基础信息、数据挂载、进程、端口、网络、风险信息等。
¶ 📌 集群
集群资产清点功能覆盖集群内数十种资产的全面清点,提供可视化详情列表进行查看,并提供资产相互关联功能,有助于快速定位资产。
集群资产概览
- 提供全面的各类资产对象总览
- 为支持查看每个资产对象的详细情况
- 提供多维度资产关联情况,满足业务各场景需要
- 支持查看各类状态下集群情况
集群资产详情查看
- 详细检测集群基础信息
- 清点集群、Node、Pod、Service、Endpoint 等16种资产数据
- 提供各类资产对象关联查看
¶ 🎯 使用指引
点击 /资产清点/集群 进入集群资产页面,此页面展示已集成的集群对象基础信息。
点击进入集群内支持查看某一集群内数十种资产对象数据概览。
单击某一资产对象卡片可进入资产列表,点击某一条资产数据可查看对应的资产详情。
¶ 📌 应用软件
牧云·容器安全平台支持主动对镜像中的应用软件进行资产清点,可清点目标服务器上镜像软件、容器软件等资产全貌,提供数十种软件类型清点,全面覆盖镜像、容器内软件信息。
点击 /资产清点/应用软件 进入应用软件资产页面,此页面列表展示探针扫描获取的资产详情。
当前平台提供镜像应用软件资产清点。
支持切换镜像视角与软件视角,便于查看某一镜像内所有软件的基本情况和某一软件覆盖面情况。
依据软件特征、镜像特征、软件在镜像内的路径进行具体镜像软件资产的区分。
支持识别软件开源许可信息。
¶ 📌 Web 站点
牧云·容器安全平台支持主动对应用中的 Web 站点进行资产清点,可清点容器内的 Web 站点信息并进行集中展示,包括所在容器信息、容器状态、服务类型 、Web 路径信息等。
点击 /资产清点/Web站点 进入 Web 站点资产页面,此页面列表展示探针实时获取的资产详情。
依据服务类型、Web 资产类型、Web 路径、容器 ID 进行具体 Web 站点资产区分。
单击一条数据可进入Web 站点资产详情页面,详情包括两大模块:站点信息和关联资产信息。
¶ 📌 运行应用
平台支持主动对容器中的运行应用进行资产清点,可清点容器内的运行应用信息并进行集中展示,包括所在容器信息、应用类型、关联进程等。
点击 【资产清点/运行应用】 进入运行应用资产页面,此页面列表展示探针实时获取的资产详情。支持检测数据库、CI/CD、API 网关、云存储、可观测性工具等应用类型。依据应用名、应用类型、版本号、运行用户、应用文件路径、容器 ID 进行具体运行应用资产区分。
点击【应用名】可进入运行应用资产详情页面,详情包括以下模块:应用信息、关联进程、关联容器和关联Pod。
¶ 风险感知
¶ 📌 镜像风险:安全漏洞
牧云·容器安全平台提供自研的漏洞检测引擎,能够对镜像中的各类漏洞进行多维度的安全检测并提供修复方案,避免引发严重的安全风险。
漏洞扫描功能提供了对于关键漏洞的高强度扫描能力。通过持续追踪 10 年内的发生在全球的重大安全事件,进而提炼出严重程度高、影响范围大的百余个漏洞,形成自研且持续更新的专属漏洞库,使用环境分析、补丁分析、版本匹配、动态验证等检测方式,为这些漏洞编写了高质量的专项检测规则,全面提升了对于关键漏洞检测的全面性和准确性。
同时,牧云·容器安全平台对关键漏洞进行了特殊标识,在全面覆盖全量漏洞检测时也提供核心的关键漏洞事件,您可以对关键漏洞进行紧急修复,解决面对大量漏洞事件不知从何下手的普遍问题。
平台对存在补丁进行了特殊标识,用户可快速感知此漏洞是否存在补丁,进而判断是否立即修复,如何修复。
点击 /镜像风险/关键漏洞 进入关键漏洞页面,此页面列表展示扫描计划进行安全扫描后发现的所有关键漏洞事件结果详情,您需要对此页面的漏洞事件进行紧急修复。
您可以通过切换关键漏洞/全量漏洞列表、镜像视角/事件视角进行查看筛选与统计,依据漏洞对业务危害程度,参考官方 CVE、CNVD、CNNVD 标准定级,漏洞分为严重、高危、中危、低危、无风险五个等级。
单击漏洞名称可进入事件详情页面,事件详情包括三大模块:漏洞信息、镜像信息、影响面,全面多维度分析漏洞来源并提供参考依据与修复建议。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 镜像风险:恶意文件
牧云·容器安全平台依托问脉开源工具系列,融合自研的恶意文件检测引擎,能够对镜像中的恶意软件进行多维度的安全检测并提供修复方案,避免引发严重的安全风险。
牧云·容器安全平台当前提供 自研引擎、yara、小红伞、bd 四种引擎同时检测,交叉覆盖可疑恶意文件
点击 /镜像风险/恶意文件 进入恶意文件事件列表页面,此列表展示扫描计划进行安全扫描后发现的所有安全事件结果详情。
您可以通过左上角切换镜像视角、事件视角进行查看筛选与统计。
单击事件名称可进入事件详情页面,提供事件信息、文件信息、镜像信息、检测引擎模块进行查看。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 镜像风险:敏感信息
牧云·容器安全平台依托问脉开源工具敏感信息检测库,提供上百条敏感信息检测规则,能够对镜像中的敏感信息进行多维度的安全检测并提供修复方案,避免引发严重的安全风险。
点击 /镜像风险/敏感信息 进入敏感信息事件列表页面,此列表展示扫描计划进行安全扫描后发现的所有安全事件结果详情。
您可以通过左上角切换镜像视角、事件视角进行查看筛选与统计。
单击事件名称可进入事件详情页面,提供事件信息、文件信息、镜像信息、检测详情模块进行查看。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 镜像风险:Webshell
牧云·容器安全平台镜像 WebShell 检测系统是长亭牧云主机安全管理平台的底层文件检测引擎 guanshan 的集成项目,经历了数次版本迭代与实场演练。
WebShell 检测引擎支持检测 php、jsp、asp 三种文件类型,主要依赖了以下核心技术:
- 静态文本特征检测 通过大量文本特征对脚本内容进行快速模式匹配,可覆盖特征较为明显的 WebShell。
- 骨架哈希检测 通过词法分析、语法分析等算法对脚本文件进行解析,构建抽象语法树,对 AST 的关键语法特征进行哈希,可对抗隐藏文本特征的 WebShell 免杀方案。
- 静态语义分析检测 对脚本内容进行静态语义分析,通过恶意打分模型对文件内容进行评估,判断恶意程度较高的语义行为,可用于对抗自研的 WebShell 和无公开特征的 WebShell。
- 动态污点追踪检测 将脚本内容编译为虚拟机字节码,对字节码进行模拟执行,通过污点追踪算法分析程序外部输入和敏感函数调用的关联关系,最终判断外部输入是否有可能通过脚本传入敏感函数,可用于对抗高度混淆和高度变形过的 WebShell。
- 动态插桩内存检测 注入 Java 进程,Dump 关键内存数据,配合静态语义分析算法,用于检测动态注入的恶意脚本(内存型 WebShell)。
点击 /镜像风险/Webshell 进入 Webshell 事件列表页面,此列表展示扫描计划进行安全扫描后发现的所有安全事件结果详情。
您可以通过左上角切换镜像视角、事件视角进行查看筛选与统计。
单击事件名称可进入事件详情页面,提供事件信息、文件信息、镜像信息、检测详情模块进行查看。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 运行时风险:应急漏洞
💡 重要提示 : 此功能是 团队版/企业版 专属功能,如需使用请升级套餐
平台应急漏洞功能提供了对于关键漏洞的扫描与处理能力,在高危漏洞爆发时可帮助客户做好漏洞应急的相关工作。产品将会定期发布应急漏洞检测插件,及时更新漏洞库及检测规则,提升对于关键漏洞检测的全面性和准确性。
使用此功能请提前前往任务计划模块创建对应的周期扫描任务。
点击 /运行时风险/应急漏洞 进入应急漏洞风险事件页面,此页面列表展示任务扫描后的风险事件信息。
单击事件名称可进入事件详情页面,事件详情包括以下模块:漏洞信息、资产信息、影响面、处理记录,提供详细的检测依据与修复建议。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 运行时风险:容器逃逸
💡 重要提示 : 此功能是 团队版/企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台基于开源社区技术沉淀,结合自研引擎能力,支持识别不安全的Capability、不安全的挂载、共享命名空间、特权容器等类型逃逸风险。
同时支持对风险事件进行处理状态管理,支持对存在风险事件的容器资产进行响应处理操作。
点击 /运行时风险/容器逃逸 进入逃逸风险检测页面,使用此功能请提前前往任务计划模块创建对应的周期扫描任务。
单击事件名称可进入事件详情页面,事件详情包括5大模块:检测详情、容器信息、Pod信息、事件信息、处理记录,提供详细的检测依据与修复建议。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 运行时风险:弱口令
💡 重要提示 : 此功能是 团队版/企业版 专属功能,如需使用请升级套餐
弱口令检测功能可覆盖攻防对抗场景下容易产生安全影响的数十种应用类型。
同时支持对入风险事件进行处理状态管理,支持对存在风险事件的容器资产进行响应处理操作。
点击 /运行时风险/弱口令 进入弱口令检测页面,使用此功能请提前前往任务计划模块创建对应的周期扫描任务。
单击事件名称可进入事件详情页面,事件详情包括5大模块:检测详情、容器信息、Pod信息、事件信息、处理记录。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 集群风险:微服务漏洞
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
平台提供自研的漏洞库,能够对集群中的微服务进行多维度的安全检测并提供修复方案,避免引发严重的安全风险。
使用此功能需安装集群扫描探针并前往任务计划下发自定义扫描任务并立即执行。
点击【风险感知-集群风险-微服务漏洞】可查看微服务事件信息,点击 【漏洞名称】 进入事件详情页面。
漏洞事件详情包括 5 个模块【漏洞信息】【关联资产】【影响面】【事件信息】【处理记录】,提供漏洞详细数据和对应的修复解决方案,并关联到发现此漏洞的 web 资产,有助于快速排查风险并进行下一步解决修复。
¶ 📌 集群风险:日志审计
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台基于Kubernetes原生架构,首推集群日志安全审计,覆盖漏洞利用、黑客工具、扫描探测、风险操作、恶意命令 5 大类型,全面检测集群内风险操作与可疑行为。
点击 /集群风险/日志审计 进入集群日志审计功能页面,此页面列表展示实时自动检测的风险事件信息。
单击事件名称可进入事件详情页面,事件详情包括4大模块:检测详情、关联资产、事件信息、处理记录,提供详细的检测依据与修复建议。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 入侵检测
¶ 📌 反弹 Shell
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台通过对进程变动的监控,结合深度行为检测算法,可检测目前已知的所有反弹 Shell 手段,包括 bash 反弹、nc 反弹、python 反弹等。
同时支持对入侵事件进行处理状态管理,支持对存在入侵事件的容器资产进行响应处理操作。
点击 /入侵检测/反弹shell 进入反弹shell检测页面,此页面列表展示实时自动检测的入侵事件信息。
单击事件名称可进入事件详情页面,事件详情页面包括以下模块:反弹信息、进程信息、进程树、资产信息、事件信息、处理记录。
检测结果包括主机/容器PID、反弹连接在内的多种有效信息,可提高事件响应速度,为后续溯源追踪提供数据支持。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 命令审计
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台基于进程监控与使用安全 bash 双模式驱动,通过持续监控进程创建与监控命令执行事件,分析进程结构与调用关系,精准定位攻击特征,实现对可疑操作的全面检测。
内置规则检测与智能行为检测双引擎,可检测包括发起攻击探测、清理入侵痕迹、植入后门、读取敏感信息、使用黑客工具在内的多种恶意行为。
同时支持对入侵事件进行处理状态管理,支持对存在入侵事件的容器资产进行响应处理操作。
点击 /入侵检测/命令审计 进入命令审计检测页面,此页面列表展示实时自动检测的入侵事件信息。
单击事件名称可进入事件详情页面,事件详情页面包括以下模块:匹配特征、进程/命令信息、进程树、资产信息、事件信息、处理记录。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 暴力破解
💡 重要提示 : 此功能是 团队版/企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台支持实时审计系统认证事件,有效识别异常认证行为,还原暴力破解过程,可检测高频暴破、低频暴破、账号暴破、口令暴破、多源暴破等多种暴力破解行为。
同时支持对入侵事件进行处理状态管理,支持对存在入侵事件的容器资产进行响应处理操作。
点击 /入侵检测/暴力破解 进入暴力破解检测页面,此页面列表展示实时自动检测的入侵事件信息。
单击事件名称可进入事件详情页面,事件详情页面包括以下模块:破解详情、暴力破解时间线、资产信息、事件信息、处理记录。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 Webshell
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台通过分析容器配置自动定位 Web 目录,对 Web 目录内的文件进行全面扫描,并持续监控 Web 目录内的文件变动,从而实现对于 WebShell 实时感知能力。
同时支持对入侵事件进行处理状态管理,支持对存在入侵事件的容器资产进行响应处理操作。
点击 /入侵检测/Webshell 进入 webshell 检测页面,此页面列表展示实时自动检测的入侵事件信息。
单击事件名称可进入事件详情页面,事件详情页面包括以下模块:文件信息、检测详情、资产信息、事件信息、处理记录。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 恶意文件
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台支持被动持续扫描,实时监控系统状态,对可执行文件、动态链接库、内核模块、驱动程序等多种文件深度扫描。
同时支持对入侵事件进行处理状态管理,支持对存在入侵事件的容器资产进行响应处理操作。
点击 /入侵检测/恶意文件 进入恶意文件检测页面,此页面列表展示实时自动检测的入侵事件信息。
单击事件名称可进入事件详情页面,事件详情页面包括以下模块:文件信息、检测详情、资产信息、事件信息、处理记录。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 内存后门
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台提供自研引擎,支持对容器和主机环境下的内存后门入侵风险进行检测。
支持对容器内的 java 进程和主机上的 java 进程通过注入插件的方式进行持久性检测,使用此功能需要启用对应主机权限,启用完成后可以在事件列表查看事件信息,注入的插件支持启用和禁用,禁用后插件会自动从进程中移除。
同时支持对入侵事件进行处理状态管理,支持对存在入侵事件的容器资产进行响应处理操作。
点击 /入侵检测/内存后门 进入内存后门检测页面,此页面列表展示实时自动检测的入侵事件信息。
单击事件名称可进入事件详情页面,事件详情页面包括以下模块:class 文件信息、反编译 java 文件信息、修复建议、资产信息、进程信息、事件信息、处理记录。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 逃逸行为
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
平台基于自研引擎算法能力,支持自动检测挂载逃逸、Cgroup逃逸、加载内核模块逃逸、内核提权逃逸等多种类型容器逃逸到宿主机的行为。
同时支持对入侵事件进行处理状态管理,支持对存在入侵事件的容器资产进行响应处理操作。
点击 /入侵检测/逃逸行为 进入逃逸行为检测页面,此页面列表展示实时自动检测的入侵事件信息。
单击事件名称可进入事件详情页面,事件详情页面包括以下模块:逃逸目标、逃逸信息、进程信息、进程树、资产信息、进程信息、事件信息、处理记录。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 📌 异常连接
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
平台支持对容器/主机的异常 IP 外连和异常 DNS 外连进行检测,提供默认威胁情报库,支持自定义检测规则,最大程度适配应急检测场景。
同时支持对入侵事件进行处理状态管理,支持对存在入侵事件的容器资产进行响应处理操作。
点击 /入侵检测/异常连接 进入异常连接检测页面,此页面列表展示实时自动检测的入侵事件信息。
单击事件名称可进入事件详情页面,事件详情页面包括以下模块:异常行为、进程信息、进程树、资产信息、进程信息、事件信息、处理记录。
列表右侧提供事件处理操作,您可以对事件标记“有风险”“确认中”“已解决”“误报”“忽略”状态。
¶ 行为学习
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台支持对容器内进程、网络、文件行为进行自动学习,自动基于镜像整合形成容器行为模型,完成学习后可自定义将容器投入监控中,当容器出现模型外行为时,将进行实时告警。
使用此功能需提前安装本地防护探针。
前往【行为学习】菜单,列表展示平台自动基于已安装探针的主机上的镜像创建的行为模型数据,点击右上方的【学习策略】可以前往策略配置页面,点击【查看归档模型】可以查看当前不使用的模型列表,点击上方tab切换,可以查看当前学习状态的模型和监测状态的模型。
模型学习列表提供模型名称、关联容器、学习时间、状态、操作字段。点击【模型名称】可以前往模型详情页面。点击【重新学习】字段,此模型会清空历史学习事件,并自动重新开始学习。点击【投入监测】字段可以将此模型转移到监测状态的模型列表中。
状态:
- 学习中:在学习中时发生的所有事件将作为模型内事件进行学习,在学习过程中基于同一个镜像创建的新容器也会进行行为学习。
- 完成学习:已依据学习策略中的配置完成模型关联运行时资产的行为学习。
- 学习失败:容器不是正常运行状态导致未学习到事件。
模型监测列表提供未处理的异常事件、模型名称、关联容器、状态、是否启用、投入监测时间、操作字段。点击【模型名称】可以前往模型详情页面。禁用模型后,模型会处于停止监测状态,不再监测容器内的行为。
点击【重新学习】字段,此模型会清空历史学习事件,将此模型转移到模型学习列表并自动重新开始学习。
状态:
监测中:此时发现的模型外事件将自动识别为异常事件进行上报。
停止监测:此时发现的运行时资产事件将不做监测。
*在监测中状态时新增的容器资产不会自动进行学习,他们会自动继承此模型行为进行管理,如需更新可进行重新学习。
学习策略页面提供 忽略exec 命令操作、配置模型学习时间、是否开启完成学习自动投入监测和设置模型归档时间功能。
¶ 集群响应
¶ 📌 准入控制
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台基于Kubernetes原生架构,推出集群准入控制功能,当前主要支持使用 securityContext.privileged 参数(以特权运行)、包含特定 Capabilities、将匿名账号/账户组绑定到角色/集群角色(禁止使用匿名账户)、在 env 中使用 Secret 等 10+ 策略规则类型,并基于策略生成告警阻断事件。
点击 /集群响应/准入控制 进入集群准入控制功能页面,使用此功能请先前往 /管理中心/集成资源 为对应的集群安装准入控制组件。
单击集群名称可进入此集群准入控制详情页面,请先前往 策略配置 添加对应的策略,完成添加新的策略后需要手动启用进行生效。命中策略的事件会在 阻断/告警事件 列表进行展示。
点击事件名称查看事件详情,提供原始报文、关联资产、事件信息模块。
¶ 📌 微隔离
💡 重要提示 : 此功能是 企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台基于Kubernetes原生network policy提供对Kubernetes集群内各类粒度资源之间的通信进行网络隔离控制,隔离策略高效灵活,支持配置所有业务场景的访问规则、阻断风险流量。
支持选择资源对象后基于网络访问连接 一键生成 策略,支持手动创建后前往详情通过 可视化拓扑图 生成策略。
点击 /集群响应/微隔离 进入集群微隔离功能页面。
¶ 运行时响应
牧云·容器安全平台提供容器告警响应操作功能,支持对容器进行暂停、移除,对容器所属 Pod 进行隔离,对文件进行隔离等响应操作,并支持对暂停容器重新拉起,对隔离的 Pod 和文件解除隔离,应急处理入侵风险事件。
当发现入侵事件时,我们可以在【入侵检测】下各模块对事件所处容器进行响应处理,每个操作会生成一条处理信息在此页面展示,支持标识处理原因。
点击 /运行时响应 进入响应处理记录页面。
¶ 合规基线
💡 重要提示 : 此功能是 团队版/企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台提供合规基线功能,基于CIS Benchmark官方标准提供上百条基线检查项,覆盖容器、镜像、主机等多个维度,对业务系统所在容器、集群以及容器原镜像进行合规检测,以防止不安全的配置导致容器逃逸或者集群入侵事件。
点击 /合规基线 进入合规基线功能页面,使用此功能请先安装防护探针,并前往 /管理中心/任务计划 创建对应的基线扫描任务。
可点击切换基线类型查看对应的基线检查项扫描结果,列表展示对应检查项名称和分类,并统计当前检查资产的通过率。
点击检查项名称即可前往详情页面查看检查详情信息,提供 检查项详情和影响资产模块。
¶ 编排文件
💡 重要提示 : 此功能是 团队版/企业版 专属功能,如需使用请升级套餐
Kubernetes 中各类资源均需要通过编排文件构建,Docker 容器可以通过编写 Dockerfile 文件的方式创建,因此编排文件编写是否规范,将直接影响对应构建的运行时资源的安全性、规范性与可用性。对于k8s的编排文件,牧云·容器安全平台支持自动扫描,根据扫描结果展示对应存在的风险事件并定位风险代码位置,并给出修复建议。同时支持手动上传 k8s 集群的 manifest yaml 文件和dockerfile 文件进行风险检测,保障资源合规且安全的创建。
点击 /编排文件 进入编排文件功能页面,平台会自动检测集群 manifest yaml 文件。
同时支持手动上传文件进行风险检测,当前支持上传 Kubernetes 集群的 manifest 资源描述 yaml 文件和 dockerfile 文件。
点击 事件名称/文件名称 前往事件/文件详情页面,提供规则描述和检测依据并支持识别存在风险的代码块并进行高亮展示。
¶ 基础设施
💡 重要提示 : 此功能是 团队版/企业版 专属功能,如需使用请升级套餐
平台提供自研的漏洞库,能够对集群环境中的各类漏洞进行多维度的安全检测并提供修复方案,避免引发严重的安全风险。
使用此功能需安装集群防护探针并前往任务计划下发自定义扫描任务并立即执行。
点击【基础设施】可查看漏洞事件信息,点击 【漏洞名称】 进入事件详情页面。列表右上方提供【全部导出】功能,点击【全部导出】将当前全部事件信息以excel格式导出到本地。
事件详情包括四个模块【漏洞信息】【关联资产】【影响面】【处理记录】,提供漏洞详细数据和对应的修复解决方案,并关联到发现此漏洞的应用地址和对应的集群资产,有助于快速排查风险并进行下一步解决修复。
¶ CICD
💡 重要提示 : 此功能是 团队版/企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台 提供 CI/CD 功能,目前兼容多种主流 CI/CD,一键生成检测策略,并查看具体检测结果,直观高效,精准定位!
- 支持自定义检测参数配置:检测范围、检测内容、事件阻断等级
- 支持可视化查询结果:是否通过检测、风险事件统计
- 支持查看每条 Pipline 检测详情:关联每条构建编号与检测结果数据、树立当前所有被影响镜像信息、检测结果详情查看跳转
点击 /CI/CD 进入对象选择页面,当前仅对外提供 Jenkins 功能。提供详细的 Token 配置向导,与策略配置步骤指引。单击每条 Job 检测事件可进入事件详情页面,提供 CI/CD 信息、扫描镜像信息、策略详情、检测详情模块进行查看。
我们为每个组织提供 1 条默认策略,此默认策略不支持修改、删除。Jenkins 检测插件默认使用默认策略,用户自定义添加策略后将执行用户定义的新策略。
¶ 管理中心
¶ 📌 任务计划
任务计划功能主要用于向扫描探针下发安全扫描任务,创建具体任务计划后,平台将具体任务下发到对应的扫描探针,扫描探针执行扫描任务并向平台上报安全事件,平台获取结果并展示。
¶ 🎯 任务计划
点击 /管理中心/任务计划 进入任务计划页面,点击右上角按钮 创建任务计划,任务计划配置参数:
| 参数字段 | 内容 |
|---|---|
| 任务计划范围 | 本地镜像、仓库镜像、集群镜像、合规基线、集群漏洞、微服务安全、应急漏洞、弱口令、容器逃逸风险。 |
| 任务计划名称 | 当前默认填充格式是当前年月日+任务计划类型+四位随机字符串,例如: 2022-03-21-本地镜像安全扫描-X8s9;您可以依据业务需求进行更改 |
| 任务计划备注 | 您可以编写计划备注,便于管理和查看 |
| 指定基线类型 | 当前提供docker、Kubernetes基线规则 |
| 选择服务扫描范围 | 可以选择对应集群下的服务对象,多选 |
| 选择主机/节点扫描范围 | 可以选择扫描探针组或单独的扫描探针,支持多选 |
| 选择仓库扫描范围 | 可以选择已集成的仓库对象,单选 |
| 选择集群扫描范围 | 可以选择已集成的集群对象,单选 |
| 镜像范围 | 支持通过多种渠道提供期望扫描的镜像目标,详情请参考镜像范围条目 |
| 指定插件 | 漏洞扫描、敏感信息扫描、webshell扫描、恶意样本扫描,支持一键选择全部插件 |
| 执行周期 | 一次、每小时、每天、每周、每月 |
| 启动日期 | 选择任务启动日期 |
| 启动时间 | 选择任务启动时间 |
💡 重要提示 :
1. 体验版云探针限额每天免费执行 2 次任务计划最多扫描 50 个目标镜像,请注意选择镜像范围,提升额度请与我们联系。
2. 请确保仓库绑定的用户账号有权限访问选择的镜像目标。
¶ 镜像范围
| 参数字段 | 内容 |
|---|---|
| 选择资产目标 | 支持筛选选择单个/多个镜像资产列表中已存在的镜像目标 |
| 手动输入 | 支持输入完整的镜像名称或镜像关键字指定镜像目标 |
| 上传范围文件 | 支持按照标准格式上传包含多个完整镜像名称的镜像列表文件 |
¶ 上传范围文件
- 文件内容需保证每行仅包含一条镜像数据
- 建议每条镜像数据不包含tag,并以换行符结束
可参考下图示例:
¶ 操作
| 操作 | 内容 |
|---|---|
| 禁用 | 支持禁用指定任务计划 |
| 启用 | 默认启用任务计划,支持对已禁用的任务计划执行启用操作 |
| 删除 | 支持删除指定的任务计划 |
| 立即执行 | 点击即代表基于此任务计划参数下发一个执行周期为【一次】的任务到任务队列中 |
任务状态
- 等待执行:任务尚未下发到任务队列中,正在等待下一次执行时间
- 队列中:任务已下发,正在任务队列中等在执行
- 正在执行:任务正在执行中
- 执行成功:即代表此任务计划已全部执行成功
- 执行失败:即代表此任务计划执行失败
- 失效:当
探针范围选择的探针从平台删除或仓库范围选择的仓库从平台删除
¶ 🎯 任务队列
任务队列列表主要展示当前正在执行、准备执行、已经执行的任务进展情况,共有以下 4 种状态:
- 等待执行:任务正在队列中等待执行
- 正在执行:任务正在执行中
- 执行失败:任务执行失败
- 执行成功:任务执行成功
¶ 📌 探针管理
¶ 🎯 扫描探针
旁路扫描探针将以平行容器的方式运行在目标服务器上,侵入性低,兼容性强,以云原生架构形态守护云原生安全。
扫描探针分为旁路扫描、本地防护、集群防护 3 种。
- 旁路扫描:扫描 仓库/集群/OSS 等其他旁路资源
- 本地部署:部署在自己服务器/主机/虚拟机等资源上的探针
- 云部署:部署在牧云·容器安全平台服务器上的探针,不需要使用自己的资源
- 本地防护:用于非集群场景的服务器本地镜像/容器数据扫描/监测防护
- 仅支持本地部署
- 集群防护:用于扫描/监测安装了探针的集群的资产/事件数据
- 仅支持 DaemoSet 方式部署
- 集群扫描:用户扫描集群微服务资源
- 仅支持 Deployment 方式部署
旁路扫描/本地防护探针
点击【探针安装/更新】按钮,配置探针参数,高级配置中可配置 CPU 阈值和内存阈值,完成参数配置后点击【生成命令】按钮,平台将实时生成专属部署命令,点击【一键复制】,前往目标服务器终端 ,粘贴命令运行即可。
| 参数字段 | 内容 |
|---|---|
| 业务组 | 为当前创建的扫描探针选择其所属业务组,默认存在本地部署组下,如何选择业务组,如何创建业务组,如何为探针分组可参考 业务组 模块 |
| CPU 阈值 | 默认设置为 50% |
| 内存阈值 | 默认设置为 500 M |
集群防护探针
确保已在集成资源模块创建对应的集群资源,然后点击【探针安装/更新】按钮,选择部署探针的集群对象,高级配置中可配置 CPU 阈值和内存阈值,完成参数配置后可选择自动安装或者手动安装。自动安装点击【立即安装】按钮即可,手动安装点击【下载集群配置文件】按钮,平台将生成集群专属配置文件,并前往集群节点使用 kubectl create 即可。
| 参数字段 | 内容 |
|---|---|
| 业务组 | 为当前创建的扫描探针选择其所属业务组,默认存在本地部署组下,如何选择业务组,如何创建业务组,如何为探针分组可参考 业务组 模块 |
| CPU 阈值 | 默认设置为 75% |
| 内存阈值 | 默认设置为 750 M |
集群扫描探针
确保已在集成资源模块创建对应的集群资源,然后点击【探针安装/更新】按钮,选择部署探针的集群对象,高级配置中可配置 CPU 阈值、内存阈值和启用副本数,完成参数配置后可选择自动安装或者手动安装。自动安装点击【立即安装】按钮即可,手动安装点击【下载集群配置文件】按钮,平台将生成集群专属配置文件,并前往集群节点使用 kubectl create 即可。
| 参数字段 | 内容 |
|---|---|
| 业务组 | 为当前创建的扫描探针选择其所属业务组,默认存在本地部署组下,如何选择业务组,如何创建业务组,如何为探针分组可参考 业务组 模块 |
| CPU 阈值 | 默认设置为 75% |
| 内存阈值 | 默认设置为 750 M |
¶ 探针通信状态
三种连接状态:在线、离线、异常
- 在线:探针成功注册到平台,并保持正常通信
- 离线:探针与平台最近一次通信结束,等待下一次通信唤醒
- 异常:探针权限不足,无法注册到平台;平台无法连接到探针;或其他原因;可尝试清除 resource 目录后重新安装扫描探针
¶ 探针行为状态
当此探针正在执行任何安全扫描任务时,状态将会变更为扫描中,本地防护/集群防护探针正常监测时将会展示持续监测中。
¶ 内存/CPU占用
实时获取当前探针的内存/CPU占用情况,同时支持在获取探针安装命令/配置文件前进行阈值设置。
¶ 操作
当前提供下载探针日志功能,点击 下载icon 可以将探针日志下载到本地。
¶ 🎯 业务组
所有探针隶属于本地部署组下,您可使用扫描探针组进行资产管理、统计分析、策略配置等功能,也可按照探针检测对象、服务器物理空间、业务类型等进行分组。
例如:
- 按照扫描探针检测对象区分:Docker Hub、Harbor、主机镜像1、主机镜像2;
- 按照物理空间区分:华东机房1、华南机房1、华南机房2;
- 按照业务类型划分:业务组-银行项目、业务组-政府项目;
点击上方菜单 业务组 进入扫描探针组页面。
点击右上角按钮 新建业务组 配置扫描探针组参数:
| 参数字段 | 内容 |
|---|---|
| 隶属关系 | 可选择组的存在位置,默认在本地部署组下创建组 |
| 扫描探针组名称 | 依据业务场景为当前探针组命名 |
完成配置后点击 确认 按钮,完成扫描探针组创建。
¶ 📌 集成资源
牧云·容器安全平台支持集成主流镜像仓库如 Docker Hub 、harbor 等,主流集群对象如 Kubernetes 等。
点击 /管理中心/集成资源 进入集成页面,点击右上角 集成资源 按钮
仓库集成参数配置:
| 参数字段 | 内容 |
|---|---|
| 资源类型 | 支持选择 Docker Hub、Harbor v1、Harbor v2、Docker Registry v2、华为 SWR、阿里 ACR(公有云实例)、腾讯 TCR、Nexus、Jfrog、Quay |
| 资源名称 | 为当前仓库命名 |
| 仓库地址 | 此仓库对应地址 |
| 匿名访问 | 开启则可匿名扫描仓库公开镜像 |
| 用户名 | 您使用此仓库时个人账号的用户名,并选择此账号对应的类型:管理员账号、非管理员账号 |
| 密码 | 您使用此仓库时个人账号的密码 |
| Access Token | 此仓库个人账号的认证信息 |
| Access Key ID(AK) | 此仓库个人账号的认证信息 |
| Secret Access Key(SK) | 此仓库个人账号的认证信息 |
| 地域选择 | 云仓库的地域字段 |
| 实例 ID | 云仓库的实例ID |
| 探针类型 | 可选择本地部署探针或云部署探针 |
| 探针范围 | 为集成对象指定用于执行扫描任务的探针/探针组 |
集群集成参数配置:
| 参数字段 | 内容 |
|---|---|
| 镜像仓库地址 | 存储集群探针镜像包的私有仓库地址,必须指定对应的namespace |
| 仓库账号用户名 | 访问仓库的账号 |
| 仓库账号密码 | 访问仓库的账号密码 |
| 启用代理 | 全局代理配置, 开启后集群探针/组件将通过代理地址与服务端进行通信 |
完成集成后可点击资源卡片进入资源详情页面。
¶ 📌 策略管理
💡 重要提示 : 此功能是 团队版/企业版 专属功能,如需使用请升级套餐
牧云·容器安全平台提供标识基础镜像、标识可信镜像、白名单等策略管理功能。
¶ 🎯 基础镜像
支持在镜像资产列表中进行基础镜像设置,手动设置的基础镜像将展示在此列表页面中,并支持取消已设置的基础镜像,支持通过镜像名称和镜像ID进行筛选,满足不同业务场景需求。
基础镜像通过手动设置标识,基础构建镜像和基础使用镜像通过Layer层识别自动进行标识。
- 基础镜像:即手动设置的业务镜像,一般选取安全性较高的镜像进行设置。
- 基础构建镜像:即基于基础镜像构建的业务镜像。
- 基础使用镜像:即基于基础镜像创建的,但未构建新的 Layer 层的镜像。
¶ 🎯 可信镜像
支持在镜像资产列表中进行可信镜像设置,手动设置的可信镜像将展示在此列表页面中,并支持取消已设置的可信镜像,支持通过镜像名称和镜像ID进行筛选,满足不同业务场景需求。
¶ 🎯 白名单
支持对多种风险事件和检测规则手动设置白名单策略。
¶ 🎯 风险评分
支持自定义对镜像设置风险评分,总分100,完成设置后可前往镜像资产中的风险信息模块进行查看
点击 /管理中心/策略管理 进入策略管理页面。
