跳至主内容

容器防护(通过BEST部署)

容器防护 功能通过扩展和增强主机操作系统的安全层,为Linux容器工作负载及其主机提供防护。它利用服务器工作负载端点检测与响应、高级反漏洞利用、Linux专用反漏洞利用技术以及反恶意软件扫描服务和威胁防护功能。您可选择启用或禁用各安全模块。

重要提示

此功能可通过两个组件部署:

  • 一个 BEST 代理包含 容器保护 模块,已安装在装有Docker的Linux主机上。

  • 一个 安全容器 部署在Linux主机终端下。 安全容器 是一个专用Docker容器,运行Ubuntu 20.04基础镜像和Linux版 BEST 的官方Debian软件包。它以特权容器身份运行在容器主机上。

本指南提供如何通过安装在Linux主机上的 BEST 代理部署该功能的信息。

组件

容器保护 使用以下组件:

  • GravityZone 控制中心

  • 安全代理( Bitdefender终端安全工具 安装在Linux终端上)

安装与配置 容器保护

重要

当终端安装 网络攻击防护 功能时, 容器保护 与之不兼容。

测试新功能

创建新容器并确保其被检测到并出现在 GravityZone 资产清单中

本指南选择为Ubuntu创建Docker镜像。创建容器时可使用任何受支持的Linux发行版,只要能从Docker注册表获取镜像即可。容器选择的发行版可与容器主机的发行版不同。

  1. 创建新容器: 

    root@ubuntu23-x64-tcor:~# docker run -dt ubuntu:latest bash
529ca9f8970c879eb8e1192077afb059a0a14dde291478863056417ef12a16dc

  2. 检查容器是否运行: 

    root@ubuntu23-x64-tcor:~# docker ps
容器ID       镜像           命令       创建时间         状态         端口      名称
529ca9f8970c   ubuntu:latest   "bash"    32秒前        运行17秒             xenodochial_hermann

  3. GravityZone 中通过左侧菜单进入网络页面,检查新容器是否显示且无异常。更多信息请参阅 查看终端详情 .

  4. 确认该容器已显示在页面上。

测试实时防护功能

  1. 使用具有 GravityZone 的账户登录 管理网络 权限。

  2. 从左侧菜单进入 策略 页面并打开先前创建的策略。

  3. 转到 反恶意软件 > 实时防护 并点击 设置 按钮(位于 实时扫描 模块右上角)。

  4. 选择 高级 选项卡。

  5. 确保 Linux实时扫描 设置已启用,并在下方框中添加 /test 路径。

  6. 点击 添加 按钮。

    GZ_policy_antimalware_on-access_add_path_linux_398419_en.png

  7. 转到 常规 选项卡,在 扫描操作 部分下,将 受感染文件的默认操作 设置为 删除 .

  8. 点击 保存 .

  9. 将策略应用于先前创建的容器。更多信息请参阅 分配策略 .

  10. 在终端中,打开先前创建的容器的shell: 

    root@ubuntu23-x64-tcor:~# docker exec -it 529c bash
root@529ca9f8970c:/#

  11. 创建测试路径: 

    mkdir /test

  12. 在受保护路径内写入反恶意软件测试文件: 

    root@529ca9f8970c:/# echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /test/test1.txt

    反恶意软件实时防护功能将自动检测EICAR文件并将其移至隔离区。

检查反恶意软件活动报告

查看 GravityZone 报告中关于已删除文件的信息:

  1. 转到 网络 GravityZone 控制中心 .

  2. 选择需要生成报告的终端。

  3. 点击 报告 按钮生成 恶意软件状态 报告。

  4. 前往 报告 页面查找该请求。

  5. 确认报告中包含先前删除的文件:

    GZ_reports_deleted_antimalware_test_398419_en.png

    重要提示

    文件被删除是因为策略中对受感染文件采取的操作设置为 删除 .

    根据策略中选择的操作,文件将被不同标记:

    • 不采取任何操作 - 忽略

    • 拒绝 - 未解决

    • 移至隔离区 - 已隔离

检查事件传感器中是否存在与检测到EICAR文件对应的事件

确认事件传感器对容器内文件有效:

  1. 登录 GravityZone 控制中心 .

  2. 进入 事件 从左侧菜单中选择

  3. 点击 检测到的威胁 标签页。

  4. 定位提及生成EICAR文件主机名的事件:

    GZ_incidents_antimalware_test_398419_en.png

验证能否创建并保护多个容器

  1. 从终端创建多个容器(例如再创建5个容器): 

    root@ubuntu23-x64-tcor:~# for i in {1..5}; do docker run -dt ubuntu:latest bash; done
5b37d80408498340664f4c0b74043512a6af423734553c1b3802313b069e8e00
3356db2a2dbe2faea5589b520f81c4da71abc2561699a2ff6ab3f0a3e5bf9cc1
fb146eeab3c6db4cdccc281aa42e671118b7267e18e416baa2c21b84593ead0c
cbfea815f32300564fcf1698df20ad4b820a545a2f38945540259dbc5fb5862b
028c3597646dba1b7adca79767a4674552cfd843d2012b05f81dd67ebf083eab

  2. GravityZone控制台 中进入 网络 页面(左侧菜单),检查新容器是否显示且状态正常。更多信息请参阅 查看终端详情 .

    GZ_network_view_containers_398419_en.png
本节内容 :