容器镜像防护
镜像存在应用漏洞、木马病毒及敏感信息泄露等多种安全问题, 容器安全服务支持 BUILD(构建)、SHIP(分发)、RUN(运行)全生命周期的镜像深度检查,可发现镜像存在的安全风险,并对镜像进行运行控制。容器安全服务允许用户自定义规则,实现对镜像的防护。
容器逃逸攻击检测
容器隔离性较弱,攻击者可利用敏感挂载和漏洞实现逃逸到宿主机的行为。逃逸问题直接影响承载容器底层基础设施的保密性、完整性和可用性。容器安全支持检测各类容器逃逸行为,例如:
Privileged 特权模式运行容器引起的逃逸。
危险挂载导致的容器逃逸(挂载 Docker Socket、挂载宿主机 procfs)。
容器内进程从普通账号切换到 root 账号导致的提权。
容器内进程 capability 提权。
容器内进程突破 mount file namespace 隔离。
容器内进程突破 seccomp syscall 黑名单调用限制。
容器内进程修改未挂载进容器的宿主机文件(如 CVE-2019-5736)。
