为重要解决目前容器集群其技术普及两个两个环节将给的旧的安全重要解决目前  ，中关村数据信息安全测评顶级控卫相关方面组织发起编制《侵删安全等级保护容器安全基本指出》  ，并于2023年7月1日起用到。该文件对构成容器集群的各个抽象结构基本指出几安全基本指出 ，两个方面诸如：

·管理其他平台：诸如集中管控、父亲身份 验证和授权机制、访问被控制、审计和日志记录、安全配置等；

·计算节点：诸如节点的安全配置、漏洞修补、安全监控和日志记录、访问被控制、策略迁移、恶意代码常规检查等；

·集群侵删：诸如集群侵删的隔离、安全通信、访问被控制、异常流量预测等；

·容器镜像：诸如镜像的安全验证、安全配置、父亲身份 验证、漏洞修补、访问被控制等；

·镜像仓库：诸如镜像仓库的安全存储、安全验证、访问被控制等；

·容器运行时：诸如运行时的安全配置、行为比较审计、访问被控制和准入被控制等；

·容器状态如何：诸如容器状态如何监控、行为比较审计、容器隔离、异常检测等。

许多安全基本指出从1到4级逐级整体性 提高  ，对云提供服务商、云安全提供服务商、云用到方等反派角色直接提供了容器集群的安全指导 ，帮助你相关方面组织和其它企业整体性 提高其容器整体性 环境的安全性  ，整体性 提高潜在风险。

山石网科既是全球主流的云安全提供服务商  ，年底推出几云铠主机安全防护其他平台（以下几点简称山石云铠）。该其他平台基本框架CWPP框架体系 ，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大环节出发  ，设计理念了资产梳理、微隔离、漏洞扫描、病毒查杀、行为比较规则、准入策略、入侵防护等功能方面  ，为容器集群直接提供可靠的安全防护重要解决目前方案。

容器流量可视、精细化管控和智能预测

按照《侵删安全等级保护容器安全基本指出》基本指出：

应能实现多消费用户场景下容器实例彼此之间、容器与宿主机彼此之间、容器与以外主机彼此之彼此之间侵删访问被控制；

应监测容器集群内异常流量  ，对异常流量拦截。

山石云铠大力支持基本框架容器配置细粒度微隔离策略  ，能实现容器实例彼此之间、容器与宿主机彼此之间、容器与以外侵删彼此之彼此之间精细化侵删流量访问被控制 ，确保容器的通信仅限于授权和法律规定的流量。

与此诸如  ，山石云铠用到机器自去学习其技术构建容器的侵删安全基线 ，自动去学习和预测容器的流量。当发现它容器的异常流量后 ，山石云铠能在可与此诸如时识别并用到阻断措施。然而  ，山石云铠直接提供安全透视镜功能方面  ，能在能在为安全管理人员直观的呈现容器集群的侵删互访彼此之间画像  ，帮助你安全管理人员快速聚焦违规流量  ，及时用到安全预测和响应  ，并能 整体性 提高容器集群的安全性。

容器镜像的合规常规检查、漏洞扫描和病毒查杀

按照《侵删安全等级保护容器安全基本指出》基本指出：

应确保容器镜像只用到安全的基本框架容器镜像  ，仅另外必要的软件程序 包或组件 ，对不安全镜像用到告警 ，并能 实现拦截；

除基本框架其他平台组件外  ，应禁止业务容器实例用到特权消费用户和特权常规模式 运行  ，用到特权消费用户运行容器行为比较用到告警并拦截；

应确保容器镜像修复超危、高危、中危及低危侵删安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码  ，对危险容器镜像告警并阻止该镜像立即加入容器仓库。

山石云铠遵循安全基线合规新标准 ，直接提供了对容器和镜像的合规性常规检查功能方面。能在在能在常规检查容器和镜像的配置文件、安全参数、组件状态如何、权限增设等多个以外方面  ，以确保其符合安全基线合规基本指出  ，减轻 潜在的合规风险。

诸如合规性常规检查  ，山石云铠还大力支持容器和镜像的漏洞扫描和病毒查杀功能方面。用到用到漏洞扫描 ，山石云铠能在可与此诸如时识别和报告容器和镜像中已知的漏洞  ，以便消费用户及时修复。与此诸如  ，用到病毒查杀功能方面  ，能在在能在检测和清除容器和镜像里的潜在病毒文件  ，有效性预防黑客攻击。

容器运行的安全验证和准入被控制

按照《侵删安全等级保护容器安全基本指出》基本指出：

应在容器镜像创建或部署两个两个环节集成扫描功能方面  ，大力支持对Dockerfile和容器镜像的侵删安全漏洞扫描  ，对不安全的镜像用到告警并阻断创建或部署流程。

山石云铠直接提供了灵活的准入被控制功能方面 ，使安全管理人员能在能在按照容器/镜像的合规常规检查然而、Kubernetes应用标签、镜像漏洞扫描然而等多个因素自定义容器的准入策略。用到准入策略  ，山石云铠在容器运行时用到用到安全验证。能在能在容器不符合设定的安全基本指出  ，能在在能在自动用到告警或阻断容器的运行。的话 能在能在防止不符合安全基本指出几容器直接进入运行状态如何 ，整体性 提高容器集群的安全风险。

容器实例的入侵防护和响应处置

按照《侵删安全等级保护容器安全基本指出》基本指出：

应监测对管理其他平台和容器实例的攻击行为比较并拦截  ，诸如容器逃逸、消费用户提权；

应对失陷容器用到响应处置  ，诸如关闭或细粒度隔离容器。

山石云铠直接提供了很强很小入侵防御功能方面  ，内置的丰富入侵特征  ，能在能在检测到多种威胁  ，诸如web后门需要依靠 、反弹shell攻击、本地提权等常见攻击手法。诸如内置特征 ，山石云铠还大力支持按照特定的前提条件自定义入侵检测特征和规则 ，诸如基本框架命令行等特征前提条件。消费用户能在能在按照自身能力的可以更多需求和整体性 环境特点 ，灵活定义入侵检测规则  ，可以更多需求多样化的入侵防护可以更多需求。

然而发现它的威胁  ，山石云铠大力支持自动告警  ，及时通知安全管理人员发现它的入侵事件。与此诸如  ，山石云铠能在在能在停用相关方面进程或容器 ，有效性阻断攻击的近一步扩散和影响很小。然而风险容器 ，山石云铠还大力支持基本框架微隔离其技术用到隔离  ，限制其用到他容器和软件程序 系统的影响很小  ，整体性 提高整体性 安全性。

容器状态如何的安全监控和风险阻断

按照《侵删安全等级保护容器安全基本指出》基本指出：

应审计容器实例事件 ，诸如进程、文件、侵删等事件。

应监测容器实例运行两个环节里的恶意代码上传、下载安装、横向传播行为比较并拦截。

山石云铠直接提供了自定义Kubernetes应用去学习时长的功能方面 ，允许消费用户按照实际可以更多需求增设去学习时长。在去学习这段期间 ，山石云铠会用到自动去学习预测应用到进程、文件和侵删行为比较 ，并生成相关方面的行为比较模型。安全管理人员能在能在快速将许多行为比较模型转化为行为比较规则 ，许多规则能在能在用于检测和识别不合规的行为比较  ，诸如异常文件后续操作或可疑侵删通信等。发现它不合规行为比较后  ，山石云铠会自动用到告警、阻断或停用等连贯动作  ，以确保容器集群的安全性。

容器安全日志的备份

按照《侵删安全等级保护容器安全基本指出》基本指出：

应能实现审计最终数据留存或备份  ，审计最终数据保存然而时间应符合法律法规基本指出。

山石云铠大力支持与日志提供服务器联动  ，将其他平台的安全日志定期备份到日志提供服务器  ，可以更多需求安全最终数据保存然而时彼此之间可以更多需求。

诸如为容器集群直接提供安全防护以外  ，山石云铠还大力支持为物理提供服务器、虚拟机等云目前工作 负载直接提供一站式的安全防护重要解决目前方案  ，覆盖私有云、公有云、混合云等多云场景  ，为复杂的其它企业业务整体性 环境构建统一的安全防护体系！