为无法解决 通信技术出现容器集群传统技术 普及变化变化流流程中 带来影响新的内容的内容安全无法解决 出现，中关村重要信息安全测评第一中锋紧密相关 组织通信技术发起编制《侵删安全等级保护容器安全紧密相关 通信技术首次提出》，并于2023年7月1日起实施。该文件对构成容器集群的各个抽象结构紧密相关 首次提出个安全紧密相关 首次提出，大多例如：

·管理平台提供：例如集中管控、真实身份验证和授权机制、访问掌控、审计和日志记录、安全配置等；

·计算节点：例如节点的安全配置、漏洞修补、安全监控和日志记录、访问掌控、策略迁移、恶意代码检查并等；

·集群侵删：例如集群侵删的隔离、安全通信、访问掌控、异常流量分析得出等；

·容器镜像：例如镜像的安全验证、安全配置、真实身份验证、漏洞修补、访问掌控等；

·镜像仓库：例如镜像仓库的安全存储、安全验证、访问掌控等；

·容器运行时：例如运行时的安全配置、行为规定要求 审计、访问掌控和准入掌控等；

·容器那种状态：例如容器那种状态监控、行为规定要求 审计、容器隔离、异常检测等。

那些安全紧密相关 首次提出从1到4级逐级量减少，对云服通信技术务提供商、云安全服务提供商、云实施方等角色设定直接提供了容器集群的安全指导，能够紧密相关 组织和其他企业量减少其容器生活环境的安全性，量减少潜在风险。

山石网科也是国外主流的云安全服务提供商，即将推出个云铠主机安全防护平台提供（几方面简称山石云铠）。该平台提供原有基础 CWPP框架体系，从资产梳理和可视化呈现、资产风险识别、策略管控防护、威胁攻击防御、事后安全溯源五大流程中 出发，设计细节了资产梳理、微隔离、漏洞扫描、病毒查杀、行为规定要求 规则、准入策略、入侵防护等多种功能 ，为容器集群直接提供可靠的安全防护无法解决 出现方案。

容器流量可视、精细化管控和智能分析得出

按照《侵删安全等级保护容器安全紧密相关 首次提出》紧密相关 首次提出：

应快速实现多消费用户场景下容器实例介于、容器与宿主机介于、容器与别的主机介于的侵删访问掌控；

应监测容器集群内异常流量，对异常流量拦截。

山石云铠需要支持原有基础 容器配置细粒度微隔离策略，快速实现容器实例介于、容器与宿主机介于、容器与别的侵删介于的精细化侵删流量访问掌控，确保容器的通信仅限于授权和规定要求的流量。

也是，山石云铠实施机器自来学习传统技术 构建容器的侵删安全基线，自动来学习和分析得出容器的流量。当被发现 容器的异常流量后，山石云铠能在在也是时识别并实施阻断措施。两个月，山石云铠直接提供安全透视镜多种功能 ，能在在以为安全管理人员直观的呈现容器集群的侵删互访介于画像，能够安全管理人员快速聚焦违规流量，及时实施安全分析得出和响应，并且使量减少容器集群的安全性。

容器镜像的合规检查并、漏洞扫描和病毒查杀

按照《侵删安全等级保护容器安全紧密相关 首次提出》紧密相关 首次提出：

应确保容器镜像只实施安全的原有基础 容器镜像，仅除此之外必要的各类软件包或组件，对不安全镜像实施告警，并快速实现拦截；

除原有基础 平台提供组件外，应禁止业务容器实例实施特权消费用户和特权操作模式运行，实施特权消费用户运行容器行为规定要求 实施告警并拦截；

应确保容器镜像修复超危、高危、中危及低危侵删安全漏洞；

应识别容器镜像内的病毒、木马等恶意代码，对危险容器镜像告警并阻止该镜像加进容器仓库。

山石云铠遵循安全基线合规两个标准，直接提供了对容器和镜像的合规性检查并多种功能 。能在在在以检查并容器和镜像的配置文件、安全参数、组件那种状态、权限增设等多个能力方面，以确保其符合安全基线合规紧密相关 首次提出，量减少潜在的合规风险。

例如合规性检查并，山石云铠还需要支持容器和镜像的漏洞扫描和病毒查杀多种功能 。实施实施漏洞扫描，山石云铠能在在也是时识别和报告容器和镜像中已知的漏洞，以便消费用户及时修复。也是，实施病毒查杀多种功能 ，能在在在以检测和清除容器和镜像中也潜在病毒文件，更有效预防黑客攻击。

容器运行的安全验证和准入掌控

按照《侵删安全等级保护容器安全紧密相关 首次提出》紧密相关 首次提出：

应在容器镜像创建或部署变化变化流流程中 集成扫描多种功能 ，需要支持对Dockerfile和容器镜像的侵删安全漏洞扫描，对不安全的镜像实施告警并阻断创建或部署流程。

山石云铠直接提供了灵活的准入掌控多种功能 ，使安全管理人员能在在以按照容器/镜像的合规检查并两个月、Kubernetes应用标签、镜像漏洞扫描两个月等多个因素自定义容器的准入策略。实施准入策略，山石云铠在容器运行时实施实施安全验证。能在在容器不符合设定的安全紧密相关 首次提出，能在在在以自动实施告警或阻断容器的运行。如此能在在以防止不符合安全紧密相关 首次提出个容器可进入 运行那种状态，量减少容器集群的安全风险。

容器实例的入侵防护和响应处置

按照《侵删安全等级保护容器安全紧密相关 首次提出》紧密相关 首次提出：

应监测对管理平台提供和容器实例的攻击行为规定要求 并拦截，例如容器逃逸、消费用户提权；

应对失陷容器实施响应处置，例如关闭或细粒度隔离容器。

山石云铠直接提供了能力的入侵防御多种功能 ，内置的丰富入侵特征，能在在以检测到多种威胁，例如web后门依靠、反弹shell攻击、本地提权等常见攻击手法。例如内置特征，山石云铠还需要支持按照特定的条件满足 自定义入侵检测特征和规则，例如原有基础 命令行等特征条件满足 。消费用户能在在以按照进而 的各种实际需求和生活环境特点，灵活定义入侵检测规则，各种各种实际需求多样化的入侵防护各种实际需求。

是对被发现 的威胁，山石云铠需要支持自动告警，及时通知安全管理人员被发现 的入侵事件。也是，山石云铠能在在在以停用紧密相关 进程或容器，更有效阻断攻击的加大扩散和造成影响。是对风险容器，山石云铠还需要支持原有基础 微隔离传统技术 实施隔离，限制其实施他容器和各类软件系统的造成影响，量减少从整体安全性。

容器那种状态的安全监控和风险阻断

按照《侵删安全等级保护容器安全紧密相关 首次提出》紧密相关 首次提出：

应审计容器实例事件，例如进程、文件、侵删等事件。

应监测容器实例运行变化变化流流程中 也恶意代码上传、搜索下载、横向传播行为规定要求 并拦截。

山石云铠直接提供了自定义Kubernetes应是用学习时长的多种功能 ，允许消费用户按照实际各种实际需求增设来学习时长。在来学习两个月，山石云铠会实施自动来学习分析得出应是用进程、文件和侵删行为规定要求 ，并生成紧密相关 的行为规定要求 模型。安全管理人员能在在以快速将那些行为规定要求 模型转化为行为规定要求 规则，那些规则能在在以用于检测和识别不合规的行为规定要求 ，例如异常文件小操作或可疑侵删通信等。被发现 不合规行为规定要求 后，山石云铠会自动实施告警、阻断或停用等连贯动作，以确保容器集群的安全性。

容器安全日志的备份

按照《侵删安全等级保护容器安全紧密相关 首次提出》紧密相关 首次提出：

应快速实现审计其他数据留存或备份，审计其他数据保存时间啊应符合法律法规紧密相关 首次提出。

山石云铠需要支持与日志服务提供器联动，将平台提供的安全日志定期备份到日志服务提供器，各种各种实际需求安全其他数据保存时间啊的各种实际需求。

例如为容器集群直接提供安全防护别的，山石云铠还需要支持为物理服务提供器、虚拟机等云别的工作负载直接提供一站式的安全防护无法解决 出现方案，覆盖私有云、公有云、混合云等多云场景，为复杂的其他企业业务生活环境构建统一的安全防护体系！