跟着云缠绵的发展，以容器和微职业为代表的云原生工夫，正在加快股东企业数字化转型进度，其中Docker和Kubernetes是企业容器入手时和容器编排的缺陷接受。但是，在利用容器和K8S历程中，大无数企业王人遭受过不同程度的安全问题，怎样保险容器安全，已成为企业最关怀的问题。

华为云容器安全职业（Container Guard Service，CGS）或然扫描镜像中的随意与配置信息，匡助企业惩处传统安全软件无法感知容器环境的问题；同期提供容器进度白名单、文献只读保护和容器潜逃检测功能，灵验驻防容器入手时安全风险事件的发生。

常识点推广镜像：镜像是一个罕见的文献系统，除了提供容器入手时所需的智力、库、资源、配置等文献外，还包含了一些为入手时准备的配置参数。镜像不包含任何动态数据，其实践在构建之后也不会被篡改。容器：容器是镜像的实例，容器不错被创建、启动、罢手、删除、暂停等。二者关连：一个镜像不错启动多个容器。利用不错包含一个或一组容器。

1.容器镜像安全

容器镜像安全功能不错扫描镜像仓库与正在入手的容器镜像，发现镜像中的随意、坏心文献等并给出建树冷漠，匡助用户获取一个安全的镜像。

2.容器安全计谋

通过配置安全计谋，匡助企业制定容器进度白名单和文献保护列表，确保容器以最小权限入手，从而普及系统和利用的安全性。

3.容器入手时安全

容器入手时安全功能及时监控节点中容器入手情景，发现挖矿、敲诈等坏心智力，发现违背容器安全计谋的进度入手和文献修改，以及容器潜逃等作为并给出惩处决策。

1.谐和安全接续

谐和接续CCE集群中通盘节点上入手的容器与镜像的安全情景。

2.丰富随意库

随意库包含丰富的100000+随意，或然灵验检测容器镜像随意。

3.容器防潜逃

内置10大类，100小类容器潜逃作为限定，灵验检测容器潜逃。

4.轻量Agent

客户端以容器面目入手，CPU和内存占用率低，不影响其他容器入手。

5.餍足等保安全合规

餍足等保安全合规入侵留神条件和坏心代码留神条件。

1.容器镜像安全

仓库镜像安全接续

容器安全职业与镜像仓库互助，为镜像仓库中的镜像提供随意扫描，坏心文献扫描，基线查验等才智。

入手镜像随意接续

容器安全职业扫描节点中通盘正在入手的容器镜像，发现镜像中的随意并给出建树冷漠。

官方镜像随意扫描

对Docker官方镜像进行定时随意扫描，匡助用户在制作镜像前进行随意建树。

2.容器入手时安全

坏心智力检测

通过坏心智力库，灵验检测挖矿、敲诈、木马等坏心智力。

容器防潜逃

灵验检测shocker报复、进度提权、DirtyCow和文献暴力破解等潜逃作为。

进度白名单

灵验组织相配进度、提权报复、违章操作等安全风险事件的发生。

文献只读保护

将关节文献目次设为只读，保护容器里面的关节文献，幸免被修改。

注：本文参考素材来自华为云官网