容器安全
该 容器保护 功能通过扩展和增强主机操作系统的安全层,为Linux容器工作负载及主机提供防护。它利用 端点检测与响应 ( EDR ), 高级反漏洞利用 以及 反恶意软件 功能。您可独立启用或禁用 反恶意软件 模块可针对每个Linux容器单独启用或禁用。其他模块仅能通过容器主机同时启用或禁用。
重要提示
该功能可通过两个组件部署:
-
一个 BEST 代理(已安装在Linux主机端点上,且包含 容器防护 模块)。
-
一个 安全容器 (部署于Linux主机端点下)。 安全容器 是专用Docker容器,运行Ubuntu 20.04基础镜像及Linux版 BEST 官方Debian软件包,在Kubernetes节点或容器主机上以特权容器形式运行。
该功能作为附加组件提供,添加至企业账户后将显示在主许可证旁:
开始试用
请按以下步骤开始试用:
-
使用管理员账户登录 GravityZone 控制台。
-
点击控制台右上角的
按钮进入
产品中心
页面。
-
在 了解更多 下方选择 容器安全 部分。
-
选择 开始免费试用 .
该附加组件将作为独立产品添加到您公司的许可证列表中。您将被重定向至主页,在那里您将看到 GravityZone 中新增的可用功能模块。
注意
若要移除 安全容器 密钥,可使用 停止试用 按钮。了解更多
配置并安装新功能
重要提示
建议仅在有限数量的Linux容器主机上试用新功能。
您可以通过安装BEST代理或在容器主机上部署安全容器来测试功能。本节包含两种操作流程:
重要说明
当 网络攻击防御 功能与已安装 容器防护 的终端不兼容。
-
登录 GravityZone 控制中心 .
-
进入 策略 从左侧菜单中选择“策略”页面。
-
您可以:
-
在 反恶意软件 > 实时防护 下,确保 实时扫描 选项已启用并 配置 该功能。
-
在 反恶意软件 > 高级反漏洞利用 下,确保 高级反漏洞利用 选项已启用并 配置 该功能。
-
在 事件传感器 , 启用 该模块。
-
保存您的策略。
-
若您创建了新策略, 请将其应用 至需要测试的终端设备。
若您修改了现有策略,变更将在所有已应用该策略的终端上生效。
这将允许您在所选终端上启用新功能。
注意
不同容器可应用不同策略,这些策略可能与终端(即容器宿主机)所应用的策略不同。
-
确定您希望在哪些终端上测试该功能。
-
在终端上部署Docker。
测试新功能
创建一个新容器,并确保其被检测到并出现在 GravityZone 清单中
出于本指南的目的,我们选择为Ubuntu创建一个Docker镜像。创建容器时,您可以使用任何受支持的Linux发行版,只要该镜像可以从Docker注册表中获取。为容器选择的发行版可以与容器主机的发行版不同。
-
创建新容器:
root@ubuntu23-x64-tcor:~# docker run -dt ubuntu:latest bash 529ca9f8970c879eb8e1192077afb059a0a14dde291478863056417ef12a16dc
-
检查容器是否正在运行:
root@ubuntu23-x64-tcor:~# docker ps 容器ID 镜像 命令 创建时间 状态 端口 名称 529ca9f8970c ubuntu:latest "bash" 32秒前 运行17秒 xenodochial_hermann
-
在 GravityZone 中,从左侧菜单进入网络页面,检查新容器是否显示且无问题。更多信息,请参阅 查看终端详情 .
-
确认容器已在页面显示。
测试实时防护功能
-
登录 GravityZone ,使用具有 管理网络 权限的账户。
-
前往 策略 页面(通过左侧菜单),并打开先前创建的策略。
-
进入 反恶意软件 > 实时防护 ,点击 设置 按钮(位于 实时扫描 模块右上角)。
-
选择 高级 选项卡。
-
确保 Linux实时扫描 设置已启用,并在下方框中添加路径
/test。 -
点击 添加 按钮。
-
切换到 常规 选项卡,在 扫描操作 模块下,将 受感染文件的默认操作 设置为 删除 .
-
点击 保存 .
-
将策略应用到先前创建的容器上。更多信息请参阅 分配策略 .
-
在终端中,进入先前创建的容器的shell环境:
root@ubuntu23-x64-tcor:~# docker exec -it 529c bash root@529ca9f8970c:/#
-
创建测试路径:
mkdir /test
-
在受保护路径中写入反恶意软件测试文件:
root@529ca9f8970c:/# echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /test/test1.txt
反恶意软件实时防护功能将自动检测EICAR文件并将其移至隔离区。
检查反恶意软件活动报告
查看 GravityZone 报告中关于已删除文件的信息:
-
进入 网络 页面(通过左侧菜单栏中的 GravityZone .
-
点击 报告 按钮生成 恶意软件状态 报告。
-
跳转至 报告 页面,从左侧菜单中找到该请求。
-
确认报告中包含先前删除的文件:
重要提示
文件被删除是因为策略中对受感染文件采取的操作设置为 删除 .
根据策略中选择的操作,文件将有不同的标记方式:
-
不采取任何操作 - 已忽略
-
拒绝 - 未解决
-
移至隔离区 - 已隔离
-
在事件传感器中检查与检测到EICAR文件相对应的事件
确认事件传感器对容器内文件有效:
-
登录 GravityZone 控制中心 .
-
转到 事件 页面,从左侧菜单中。
-
选择 检测到的威胁 标签页。
-
找到提及生成EICAR文件的主机名的事件:
验证可以创建并保护多个容器
-
从终端创建多个容器(例如再创建5个容器):
root@ubuntu23-x64-tcor:~# for i in {1..5}; do docker run -dt ubuntu:latest bash; done 5b37d80408498340664f4c0b74043512a6af423734553c1b3802313b069e8e00 3356db2a2dbe2faea5589b520f81c4da71abc2561699a2ff6ab3f0a3e5bf9cc1 fb146eeab3c6db4cdccc281aa42e671118b7267e18e416baa2c21b84593ead0c cbfea815f32300564fcf1698df20ad4b820a545a2f38945540259dbc5fb5862b 028c3597646dba1b7adca79767a4674552cfd843d2012b05f81dd67ebf083eab -
在 GravityZone 中前往 网络 页面(从左侧菜单进入),检查新容器是否显示且无异常。更多信息请参阅 查看终端详情 .
停止试用
要停止试用,请按以下步骤操作:
-
使用管理员账号登录 GravityZone 。
-
点击控制台右上角的
按钮进入
产品中心
页面。
-
在 了解更多 下方 容器安全 部分选择
-
点击 停止试用 .
该产品将从您的公司移除,所有附加功能将被禁用。