跳至主内容

容器安全

容器防护 功能通过扩展和增强主机操作系统的安全层,为Linux容器工作负载及主机提供保护。其采用 终端检测与响应 ( EDR ), 高级漏洞防护 反恶意软件 功能。您可以独立启用或禁用每个Linux容器的 反恶意软件 模块。其他模块只能通过容器主机同时启用或禁用。

重要提示

该功能可通过两个组件部署:

  • 一个 BEST 代理,已安装在包含 容器防护 模块的Linux主机端点上。

  • 一个 安全容器 部署在Linux主机端点下。 安全容器 是运行Ubuntu 20.04基础镜像和Linux版 BEST 官方Debian包的专用Docker容器。它以特权容器形式运行于Kubernetes节点或容器主机上。

该功能作为附加组件提供,添加到公司账户后会显示在主许可证旁:

Companies_Licensing_product_and_addon_container_security_398419_en.png

开始试用

要开始试用,请按以下步骤操作:

  1. 使用管理员账户登录 GravityZone

  2. 点击控制台右上角的 product_trials_icon_262792_en.png 按钮进入 产品中心 页面。

  3. 选择 了解更多 容器安全 部分。

  4. 选择 开始免费试用 .

该附加组件将作为独立产品添加到您公司的许可证列表中。您将被重定向至主页,在那里您将看到 GravityZone 中新增的可用功能模块。

注意

如需移除 安全容器 密钥,可使用 停止试用 按钮。了解更多

配置并安装新功能

重要提示

建议仅在有限数量的Linux容器主机上试用新功能。

您可以通过安装BEST代理或在容器主机上部署安全容器来测试功能。本节包含两种操作流程:

重要提示

网络攻击防护 功能与已安装 容器防护 的终端不兼容。

策略准备与部署

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 策略 页面。

  3. 您可以执行以下操作:

  4. 反恶意软件 > 实时防护 下,确保 实时扫描 选项已启用并 配置 该功能。

  5. 反恶意软件 > 高级反漏洞利用 下,确保 高级反漏洞利用 选项已启用并 配置 该功能。

  6. 事件传感器 , 启用 该模块。

  7. 保存您的策略。

  8. 如果您创建了新策略, 将其应用 到您想要测试的终端上。

    如果您编辑了现有策略,更改将在所有已应用的终端上生效。

这将允许您在所选终端上启用新功能。

注意

不同容器可应用不同策略。这些策略可能与终端(我们称之为容器主机)上应用的策略不同。

创建重新配置客户端任务以部署 容器防护 模块

  1. 登录 GravityZone 控制中心 .

  2. 进入 网络 页面(通过左侧菜单),选择需要部署模块的终端。

  3. 点击 任务 按钮并选择 重新配置客户端 .

  4. 模块 下选择 添加 并启用 容器防护 , 高级反漏洞利用 终端检测与响应 .

    注意

    有关使用重新配置客户端任务的更多信息,请参阅 重新配置代理 .

  5. 点击 保存 .

    功能安装完成后,主机管理的所有容器将显示在 GravityZone 中。您可以从 网络 页面的 容器 文件夹查看。更多信息请参阅 查看终端详情 .

在已安装Docker的Linux服务器上安装 安全容器

  • 按照 本文 的步骤部署 安全容器 。确保Linux主机终端上未安装任何BEST代理。

    该功能安装完成后,主机管理的所有容器将在 GravityZone 中可见。您可以通过 网络 页面下的 容器 文件夹查看它们。更多信息请参阅 查看终端详情 .

在终端上部署Docker

  1. 确定您希望在哪些终端上测试该功能。

  2. 在终端上部署Docker。

测试新功能

创建新容器并确保其被检测到并出现在 GravityZone 资产清单中

本指南以创建Ubuntu的Docker镜像为例。创建容器时您可以使用任何受支持的Linux发行版,只要该镜像可从Docker仓库获取。容器的发行版可与容器主机的发行版不同。

  1. 创建新容器: 

    root@ubuntu23-x64-tcor:~# docker run -dt ubuntu:latest bash
529ca9f8970c879eb8e1192077afb059a0a14dde291478863056417ef12a16dc

  2. 检查容器是否运行: 

    root@ubuntu23-x64-tcor:~# docker ps
容器ID       镜像           命令       创建时间         状态         端口     名称
529ca9f8970c   ubuntu:latest   "bash"    32秒前        运行17秒             xenodochial_hermann

  3. GravityZone 中,从左侧菜单进入网络页面,检查新容器是否显示且无异常。更多信息请参阅 查看终端详情 .

  4. 确认该容器已在页面显示。

测试实时防护功能

  1. 登录 GravityZone 使用具有 管理网络 权限的账户。

  2. 通过左侧菜单进入 策略 页面并打开之前创建的策略。

  3. 转到 反恶意软件 > 实时防护 并点击 设置 按钮,该按钮位于 实时扫描 部分的右上角。

  4. 选择 高级 选项卡。

  5. 确保 Linux实时扫描 设置已启用,并在下方框中添加 /test 路径。

  6. 点击 添加 按钮。

    GZ_policy_antimalware_on-access_add_path_linux_398419_en.png

  7. 转到 常规 标签页,在 扫描操作 部分下,将 受感染文件的默认操作 设置为 删除 .

  8. 点击 保存 .

  9. 将策略应用到先前创建的容器上。更多信息请参阅 分配策略 .

  10. 在终端中,打开先前创建的容器的shell: 

    root@ubuntu23-x64-tcor:~# docker exec -it 529c bash
root@529ca9f8970c:/#

  11. 创建测试路径: 

    mkdir /test

  12. 在受保护路径内写入反恶意软件测试文件: 

    root@529ca9f8970c:/# echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /test/test1.txt

    反恶意软件实时防护功能将自动检测EICAR文件并将其移至隔离区。

查看反恶意软件活动报告

检查 GravityZone 报告中关于已删除文件的信息:

  1. 前往 网络 页面,通过 GravityZone .

  2. 点击 报告 按钮生成一份 恶意软件状态 报告。

  3. 从左侧菜单进入 报告 页面并找到该请求。

  4. 确认报告中包含先前删除的文件:

    GZ_reports_deleted_antimalware_test_398419_en.png

    重要提示

    文件被删除是因为策略中对受感染文件采取的操作设置为 删除 .

    根据策略中选择的操作,文件将显示不同状态:

    • 不采取行动 - 已忽略

    • 拒绝 - 未解决

    • 移至隔离区 - 已隔离

在事件传感器中检查与检测到EICAR文件相关的事件

验证事件传感器对容器内文件是否生效:

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 事件 页面。

  3. 选择 检测到的威胁 标签页。

  4. 定位到提及生成EICAR文件的主机名的事件:

    GZ_incidents_antimalware_test_398419_en.png

验证能否创建并保护多个容器

  1. 从终端创建多个容器(例如再创建5个容器): 

    root@ubuntu23-x64-tcor:~# for i in {1..5}; do docker run -dt ubuntu:latest bash; done
5b37d80408498340664f4c0b74043512a6af423734553c1b3802313b069e8e00
3356db2a2dbe2faea5589b520f81c4da71abc2561699a2ff6ab3f0a3e5bf9cc1
fb146eeab3c6db4cdccc281aa42e671118b7267e18e416baa2c21b84593ead0c
cbfea815f32300564fcf1698df20ad4b820a545a2f38945540259dbc5fb5862b
028c3597646dba1b7adca79767a4674552cfd843d2012b05f81dd67ebf083eab

  2. GravityZone 中,通过左侧菜单进入 网络 页面,检查新容器是否显示且无异常。更多信息请参阅 查看终端详情 .

    GZ_network_view_containers_398419_en.png

停止试用

要停止试用,请按以下步骤操作:

  1. 使用管理员账户登录 GravityZone

  2. 点击控制台右上角的 product_trials_icon_262792_en.png 按钮进入 产品中心 页面。

  3. 了解更多 下方选择 容器安全 部分。

  4. 选择 停止试用 .

该产品将从您的公司移除,所有附加功能将被禁用。

本节内容 :