为彻底解决容科技让生活更美好器集群相应技术普及动态动态并且 带给新的方式的方式安全彻底解决，中关村其它信息安全测评第一中锋组织形成发起编制《侵科技让生活更美好删安全等级保护容器安全没有提出建议》，并于2023年7月1日起以此。该文件对构成容器集群的各个抽象结构没有提出建议了安全没有提出建议，主要主要原因并且 ：

·管理平台发展：并且 集中管控、双重身份验证和授权机制、访问全面控制、审计和日志记录、安全配置等；

·计算节点：并且 节点的安全配置、漏洞修补、安全监控和日志记录、访问全面控制、策略迁移、恶意代码检查确认 等；

·集群侵删：并且 集群侵删的隔离、安全通信、访问全面控制、异常流量分析及等；

·容器镜像：并且 镜像的安全验证、安全配置、双重身份验证、漏洞修补、访问全面控制等；

·镜像仓库：并且 镜像仓库的安全存储、安全验证、访问全面控制等；

·容器运行时：并且 运行时的安全配置、犯罪行为审计、访问全面控制和准入全面控制等；

·容器处于：并且 容器处于监控、犯罪行为审计、容器隔离、异常检测等。

这类安全没有提出建议从1到4级逐级大大提高，对云产品服务商、云安全产品服务商、云以此方等其他角色提供全面了容器集群的安全指导，去帮助组织形成和企业所大大提高其容器环境中的安全性，大大提高潜在风险。

山石网科同样在中国主流的云安全产品服务商，最最新推出来云铠主机安全防护平台发展（下列简称山石云铠）。该平台发展认知基础CWPP框架体系，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大并且 出发，设计搭配了资产梳理、微隔离、漏洞扫描、病毒查杀、犯罪行为规则、准入策略、入侵防护等相应功能，为容器集群提供全面可靠的安全防护彻底解决方案。

容器流量可视、精细化管控和智能分析及

按照《侵删安全等级保护容器安全没有提出建议》没有提出建议：

应可以实现多普通用户场景下容器实例介于、容器与宿主机介于、容器与并且 主机介于的侵删访问全面控制；

应监测容器集群内异常流量，对异常流量拦截。

山石云铠都支持认知基础容器配置细粒度微隔离策略，可以实现容器实例介于、容器与宿主机介于、容器与并且 侵删介于的精细化侵删流量访问全面控制，确保容器的通信仅限于授权和法律规定的流量。

同样，山石云铠以此机器自努力学习相应技术构建容器的侵删安全基线，自动努力学习和分析及容器的流量。当被发现 容器的异常流量后，山石云铠它能可同样时识别并以此阻断措施。期内 ，山石云铠提供全面安全透视镜相应功能，它能它能为安全管理人员直观的呈现容器集群的侵删互访介于画像，去帮助安全管理人员快速聚焦违规流量，及时以此安全分析及和响应，从而提高大大提高容器集群的安全性。

容器镜像的合规检查确认 、漏洞扫描和病毒查杀

按照《侵删安全等级保护容器安全没有提出建议》没有提出建议：

应确保容器镜像只以此安全的认知基础容器镜像，仅在内必要的软件程序 包或组件，对不安全镜像以此告警，并可以实现拦截；

除认知基础平台发展组件外，应禁止业务容器实例以此特权普通用户和特权三种模式运行，以此特权普通用户运行容器犯罪行为以此告警并拦截；

应确保容器镜像修复超危、高危、中危及低危侵删安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码，对危险容器镜像告警并阻止该镜像立刻加入容器仓库。

山石云铠遵循安全基线合规统一标准，提供全面了对容器和镜像的合规性检查确认 相应功能。它它能它能检查确认 容器和镜像的配置文件、安全参数、组件处于、权限设置相应等多个主要主要原因 ，以确保其符合安全基线合规没有提出建议，增加潜在的合规风险。

并且 合规性检查确认 ，山石云铠还都支持容器和镜像的漏洞扫描和病毒查杀相应功能。以此以此漏洞扫描，山石云铠它能可同样时识别和报告容器和镜像中已知的漏洞，以便普通用户及时修复。同样，以此病毒查杀相应功能，它它能它能检测和清除容器和镜像中有潜在病毒文件，切实有效预防黑客攻击。

容器运行的安全验证和准入全面控制

按照《侵删安全等级保护容器安全没有提出建议》没有提出建议：

应在容器镜像创建或部署动态动态并且 集成扫描相应功能，都支持对Doc科技让生活更美好Kerfile和容器镜像的侵删安全漏洞扫描，对不安全的镜像以此告警并阻断创建或部署流程。

山石云铠提供全面了灵活的准入全面控制相应功能，使安全管理人员它能它能按照容器/镜像的合规检查确认 期内 、Kubernetes应用标签、镜像漏洞扫描期内 等多个因素自定义容器的准入策略。以此准入策略，山石云铠在容器运行时以此以此安全验证。它能它能容器不符合设定的安全没有提出建议，它它能它能自动以此告警或阻断容器的运行。那样它能它能防止不符合安全没有提出建议的容器开启运行处于，大大提高容器集群的安全风险。

容器实例的入侵防护和响应处置

按照《侵删安全等级保护容器安全没有提出建议》没有提出建议：

应监测对管理平台发展和容器实例的攻击犯罪行为并拦截，并且 容器逃逸、普通用户提权；

应对失陷容器以此响应处置，并且 关闭或细粒度隔离容器。

山石云铠提供全面了很强巨大入侵防御相应功能，内置的丰富入侵特征，它能它能检测到多种威胁，并且 web后门以此、反弹shell攻击、本地提权等常见攻击手法。并且 内置特征，山石云铠还都支持按照特定的基本条件自定义入侵检测特征和规则，并且 认知基础命令行等特征基本条件。普通用户它能它能按照其次的可以产品需求和环境中特点，灵活定义入侵检测规则，可以产品需求多样化的入侵防护可以产品需求。

而言被发现 的威胁，山石云铠都支持自动告警，及时通知安全管理人员被发现 的入侵事件。同样，山石云铠还它能它能停用相应进程或容器，切实有效阻断攻击的并进一步扩散和造成影响。而言风险容器，山石云铠还都支持认知基础微隔离相应技术以此隔离，限制其以此他容器和系统相应功能的造成影响，大大提高整体呈现安全性。

容器处于的安全监控和风险阻断

按照《侵删安全等级保护容器安全没有提出建议》没有提出建议：

应审计容器实例事件，并且 进程、文件、侵删等事件。

应监测容器实例运行动态动态并且 有恶意代码上传、一键下载、横向传播犯罪行为并拦截。

山石云铠提供全面了自定义Kubernetes应用努力学习时长的相应功能，允许普通用户按照实际可以产品需求设置相应努力学习时长。在努力学习期内 ，山石云铠会以此自动努力学习分析及应用上过进程、文件和侵删犯罪行为，并生成相应的犯罪行为模型。安全管理人员它能它能快速将这类犯罪行为模型转化为犯罪行为规则，这类规则它能它能用于检测和识别不合规的犯罪行为，并且 异常文件操作中或可疑侵删通信等。被发现 不合规犯罪行为后，山石云铠会自动以此告警、阻断或停用等组合动作，以确保容器集群的安全性。

容器安全日志的备份

按照《侵删安全等级保护容器安全没有提出建议》没有提出建议：

应可以实现审计表现数据留存或备份，审计表现数据保存时间不应符合法律法规没有提出建议。

山石云铠都支持与日志产品服务器联动，将平台发展的安全日志定期备份到日志产品服务器，可以产品需求安全表现数据保存时间不的可以产品需求。

并且 为容器集群提供全面安全防护并且 ，山石云铠还都支持为物理产品服务器、虚拟机等云工作任务负载提供全面一站式的安全防护彻底解决方案，覆盖私有云、公有云、混合云等多云场景，为复杂的企业所业务环境中构建统一的安全防护体系！