云原生安全¶
DCE 5.0 针对容器、Pod、镜像、运行时、微服务提供了全面自动化的安全实现。 下表列出了一些已实现或正在实现中的安全特性。
安全特性 | 细目 | 描述 |
---|---|---|
镜像安全 | 可信镜像分发 | 为实现镜像的安全传输,需具备密钥对和签名信息,保证传输安全。在传输镜像时具备选择密钥进行镜像签名能力。 |
运行时安全 | 事件关联分析 | 支持对运行时检测出的安全事件做关联与风险分析,增加攻击溯源能力,收敛告警,降低无效告警,提高事件响应效率。 |
- | 容器诱饵仓库 | 具备容器诱饵仓库,常见诱饵包括但不限于:未授权访问漏洞、代码执行漏洞、本地文件读取漏洞、远程命令执行 RCE 漏洞等容器诱饵。 |
- | 容器诱饵部署 | 支持自定义新增诱饵容器,可以自定义服务名称、服务位置等。 |
- | 容器诱饵告警 | 支持对容器诱饵中可疑行为进行告警。 |
- | 偏移检测 | 在扫描镜像同时,学习镜像中全部二进制文件信息,并形成“白名单”,容器上线后仅允许“白名单”中二进制文件运行,确保容器内不能运行不授信(如非法下载)的可执行文件。 |
微隔离 | 隔离策略智能推荐 | 支持记录资源历史访问流量,并在对资源进行隔离策略配置时能够智能依据历史访问流量进行策略推荐。 |
- | 租户隔离 | 支持对 Kubernetes 集群内租户进行隔离控制,具备对不同的租户设置不同的网络安全组的能力,支持租户级别的安全策略设置功能,通过不同安全组和设置的安全策略实现租户间网络的访问与隔离。 |
微服务安全 | 服务及 API 安全扫描 | 对集群内的服务及 API 支持自动扫描、手动扫描及周期性扫描的安全扫描方式,支持全部的传统 web 扫描项目包括 XSS 漏洞、SQL 注入、命令/代码注入、目录枚举、路径穿越、XML 实体注入、poc、文件上传、弱口令、jsonp、ssrf、任意跳转、CRLF 注入等风险,以及容器环境特有的项,针对发现的漏洞支持漏洞类型展示、url 展示、参数展示、危险级别展示、测试方法展示等。 |