容器保护（通过安全容器部署）

该容器保护功能通过扩展和增强主机操作系统的安全层，为Linux容器工作负载及其主机提供防护。它利用服务器工作负载端点检测与响应、高级反漏洞利用、Linux专用反漏洞利用技术以及反恶意软件扫描服务和威胁防护功能。您可选择性启用或禁用各安全模块。

重要提示

本功能可通过两个组件部署：

一个最佳代理（含 容器保护 模块），需安装在已部署Docker的Linux主机上。
一个安全容器部署在Linux主机端点下。安全容器是一个专用Docker容器，运行Ubuntu 20.04基础镜像及 BEST Linux官方Debian软件包。它以特权容器身份运行在容器主机上。

本指南提供通过安全容器部署该功能的相关信息。

提示

在本指南中，我们将安全容器简称为BSC（Bitdefender安全容器）。

当前安全容器支持的功能集包括：

反恶意软件
EDR传感器
高级反漏洞利用
容器保护

部署在Linux主机时，安全容器可保护该主机及主机上运行的其他容器。

组件

容器保护使用以下组件：

GravityZone 控制中心
一个安全容器
未安装安全代理的Linux主机

安装与配置容器保护

本指南将演示如何在Kubernetes集群部署安全容器。

开始前请确认满足以下条件：

已部署含Linux节点的Kubernetes集群

本指南将部署安全容器在以下包含4个节点的集群上：

root@tcor-temp-workspace:~# kubectl get nodes -o wide
名称      状态     角色            运行时间   版本       内部IP        外部IP      操作系统镜像            内核版本              容器运行时
node1    就绪     control-plane   359天     v1.26.1    10.17.13.92    <无>        Ubuntu 20.04.5 LTS    5.4.0-139-generic     containerd://1.6.16
node2    就绪     control-plane   359天     v1.26.1    10.17.13.123   <无>        Ubuntu 20.04.5 LTS    5.4.0-139-generic     containerd://1.6.16
node3    就绪     <无>            359天     v1.26.1    10.17.13.93    <无>        Ubuntu 20.04.5 LTS    5.4.0-139-generic     containerd://1.6.16
node4    就绪     <无>            359天     v1.26.1    10.17.13.94    <无>        Ubuntu 20.04.5 LTS    5.4.0-139-generic     containerd://1.6.16

包含所需模块的安装包位于 GravityZone .
您的公司ID。
提供容器保护功能访问权限的许可证。

在终端上安装此功能有三种可能场景：

登录 GravityZone 控制中心 .
转到网络 > 安装包 从左侧菜单。
选择要用于安装流程的安装包。

该安装包必须已启用容器保护模块。

提示

有关如何编辑或创建新安装包的信息，请参阅创建安装包 .
点击下载并选择 安全容器 :

这将打开 下载安全容器 界面。该界面提供了在所有受支持的Kubernetes环境中安装安全容器的脚本。

重要提示

目前，Openshift环境仅与Azure Kubernetes服务（AKS）和VMware兼容。
选择复制按钮，位于您要安装安全容器 .

进入您的环境并运行脚本：

curl -s https://download.bitdefender.com/business/k8s/bitdefender-security-container | bash -s -- --server cloudirl-ecs.gravityzone.bitdefender.com:443 --company <COMPANY_ID>
configmap/bitdefender-security-container-config configured
daemonset.apps/bitdefender-security-container created

注意

这将在您指定的集群中的每个主机上部署一个安全容器实例。

资源将在名为 bitdefender-security-container .

检查所有Pod是否正在运行：

root@tcor-temp-workspace:~# kubectl get pods -n bitdefender-security-container -o wide
NAME                                   READY   STATUS    RESTARTS   AGE    IP             NODE    NOMINATED NODE   READINESS GATES
bitdefender-security-container-6kzg7   1/1     Running   0          109s   10.17.13.92    node1   <none>           <none>
bitdefender-security-container-9m6bg   1/1     Running   0          109s   10.17.13.94    node4   <none>           <none>
bitdefender-security-container-fv7qc   1/1     Running   0          109s   10.17.13.123   node2   <none>           <none>
bitdefender-security-container-txnd6   1/1     Running   0          109s   10.17.13.93    node3   <none>           <none>

这些Pod是通过 DaemonSet 对象。这确保每个集群节点上始终运行一个Pod。若发生错误导致Pod退出，DaemonSet将自动创建新Pod。

root@tcor-temp-workspace:~# kubectl get daemonsets -n bitdefender-security-container
名称                             期望数  当前数  就绪数  最新数  可用数   节点选择器   运行时长
bitdefender-security-container   4       4       4       4       4        <无>        5分24秒

前往 GravityZone 控制台，通过左侧菜单导航至网络页面。确认集群节点显示为容器主机。
仍在网络页面时，转至容器 > 自定义容器组 ，检查是否为每个集群节点显示容器组。
逐个点击容器组展开，确认所有容器（包括带有独特图标的安全容器）均显示在Gravity Zone中。

注意

节点上可能已运行其他Kubernetes基础设施容器。

可点击安全容器查看详细信息。
通过以下任一方式验证部署：
- 在Kubernetes环境中使用 kubectlgetpods-nbitdefender-security-container 命令。
- 在 GravityZone 控制台中，通过左侧菜单进入网络页面。

策略用于在终端及通用功能层面启用和配置各项功能。

GravityZone 提供一组默认策略设置，这些设置经过专门定制以满足最常见的客户需求。默认情况下，这些策略会在安装 BEST 代理后应用于终端。您无法修改或删除默认的 GravityZone 策略。

您可以直接使用这些默认策略设置稍后再配置策略，或通过以下步骤自定义功能：

登录 GravityZone 控制中心 .
从左侧菜单进入策略页面。
您可以：
- 创建新策略。
- 编辑现有策略。
在 反恶意软件 > 实时防护 下，确保 实时扫描 选项已启用并配置该功能。
在 反恶意软件 > 高级反漏洞利用 下，确保 高级反漏洞利用 选项已启用并配置该功能。
在 事件传感器 , 启用该模块。
保存您的策略。
如果您创建了新策略，请将其应用于部署该功能的终端。
1. 转到网络页面（位于左侧菜单）。
2. 选择您要应用策略的终端。
  
  注意
  
  不同容器可应用不同策略，这些策略可能与终端（即容器主机）应用的策略不同。
3. 点击表格上方的操作按钮并选择 分配策略 .
4. 选择要应用的策略。
5. 点击完成 .
  
  注意
  
  更多信息请参阅分配设备策略
若您编辑了现有策略，请确保将其应用到部署该功能的所有终端。

这将确保该功能已启用并配置为最符合您公司的需求。

测试新功能

测试部署

要确认特定节点上的部署是否成功，请按以下步骤操作。

为与该节点上部署的安全容器交互，需在Pod内的容器中打开shell。获得shell后，即可像在常规机器上安装产品一样操作所有产品文件（二进制文件、日志等）。

注意

容器日志不包含产品日志，需从容器内部访问。

在运行的Pod中打开shell并确认产品存在。

root@tcor-temp-workspace:~# kubectl exec -it bitdefender-security-container-6kzg7 -n bitdefender-security-container -- bash
root@node1:~# /opt/bitdefender-security-tools/bin/bdsecd -V
Bitdefender安全工具版本7.0.5.200049 (d0fd7aa8)

检查BEST进程是否正在运行。

root@node1:~# ps afx | grep bitdef
  27820 ?        S      0:00  |       \_ /bin/sh -c cd /; "/opt/bitdefender-security-tools/bin/bdwatchdogd" -c "/opt/bitdefender-security-tools/etc/bdwatchdogd.json"
  27821 ?        S      0:00  |           \_ /opt/bitdefender-security-tools/bin/bdwatchdogd -c /opt/bitdefender-security-tools/etc/bdwatchdogd.json
  27822 ?        Sl     0:43  |               \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json
  27920 ?        Sl     0:33  |               |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  27932 ?        S      0:00  |               |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  27936 ?        S      0:00  |               |   |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  33967 ?        S      0:00  |               |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  33968 ?        S      0:00  |               |   |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  33977 ?        S      0:00  |               |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  33978 ?        S      0:00  |               |   |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  33995 ?        S      0:00  |               |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  33996 ?        S      0:00  |               |   |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  34005 ?        S      0:00  |               |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  34006 ?        S      0:00  |               |   |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  34015 ?        S      0:00  |               |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  34016 ?        S      0:00  |               |   |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  34025 ?        S      0:00  |               |   |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  34066 ?        S      0:00  |               |   |       \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m fanotify -M
  28649 ?        Sl     0:11  |               |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m antimalware -M config=/opt/bitdefender-security-tools/var/lib/modules/antimalware/update.jso.temp
  29354 ?        Sl     1:31  |               |   \_ /opt/bitdefender-security-tools/bin/bdsecd -c /opt/bitdefender-security-tools/etc/bdsecd.json -m ctc -M config=/opt/bitdefender-security-tools/var/lib/modules/ctc/update.jso.temp
  27823 ?        Sl     0:04  |               \_ /opt/bitdefender-security-tools/bin/updated -c /opt/bitdefender-security-tools/etc/bdsecd.json
  27824 ?        Sl     0:04  |               \_ /opt/bitdefender-security-tools/bin/epagngd -c /opt/bitdefender-security-tools/etc/bdsecd.json

注意

由于节点上已运行多个容器，因此存在多个fanotify进程。

前往网络页面（通过 GravityZone 控制中心 .
选择需要验证的容器主机以显示详细信息。进入
防护 选项卡并检查以下信息： 在
- 代理 部分，确保 主扫描引擎为中央扫描 且 备用扫描引擎为混合扫描 。 .
- 概览 部分，确认 反恶意软件、 , , 容器保护 以及 EDR传感器 功能已启用。

若所有检查均通过，则确认部署成功。可对集群中所有节点重复上述步骤。

测试实时防护功能

要在BSC上执行反恶意软件实时扫描基础测试，并验证防护是否覆盖容器主机及所有托管运行中的容器，请按以下步骤操作。

由于环境为Kubernetes集群，需通过DaemonSet定义以与BSC部署相同方式（每个集群节点一个pod）创建其他pod。以下定义描述了一个持续运行50000秒的CentOS 7容器DaemonSet。

api版本: apps/v1
类型: DaemonSet
元数据:
  名称: centos临时
  命名空间: 默认
  标签:
    名称: centos临时
规格:
  选择器:
    匹配标签:
      名称: centos临时
  模板:
    元数据:
      名称: centos临时
      标签:
        名称: centos临时
    规格:
      容忍度:
      - 键: node-role.kubernetes.io/master
        操作符: 存在
        效果: 不调度
      - 键: node-role.kubernetes.io/control-plane
        操作符: 存在
        效果: 不调度
      容器:
      - 名称: centos临时
        镜像: centos:7
        命令: ["休眠", "50000"]

将此定义保存至名为 centos.yaml 的文件中，置于集群外部。

运行此命令（该命令会微调文件以创建多个DaemonSet）：

循环5次执行：sed "s/centos临时/centos临时$i/g" centos.yaml > /tmp/centos临时.yaml && kubectl apply -f /tmp/centos临时.yaml
daemonset.apps/centos临时1已创建
daemonset.apps/centos临时2已创建
daemonset.apps/centos临时3已创建
daemonset.apps/centos临时4已创建
daemonset.apps/centos临时5已创建

等待所有对象创建完成且所有pod进入运行状态。

root@tcor-temp-workspace:~# kubectl get pods -o wide
名称                 就绪   状态     重启次数   年龄   IP               节点    提名节点       就绪门限
centos-temp1-4krnb   1/1    运行中    0          51秒  10.233.71.61     node3   <无>           <无>
centos-temp1-6fq8v   1/1    运行中    0          51秒  10.233.75.61     node2   <无>           <无>
centos-temp1-7fhqp   1/1    运行中    0          51秒  10.233.102.135   node1   <无>           <无>
centos-temp1-s2985   1/1    运行中    0          51秒  10.233.74.65     node4   <无>           <无>
centos-temp2-kv7sz   1/1    运行中    0          51秒  10.233.71.28     node3   <无>           <无>
centos-temp2-m48hx   1/1    运行中    0          51秒  10.233.75.4      node2   <无>           <无>
centos-temp2-n2z9c   1/1    运行中    0          51秒  10.233.74.127    node4   <无>           <无>
centos-temp2-pwc69   1/1    运行中    0          51秒  10.233.102.133   node1   <无>           <无>
centos-temp3-b8vdm   1/1    运行中    0          50秒  10.233.75.26     node2   <无>           <无>
centos-temp3-cxjrz   1/1    运行中    0          50秒  10.233.74.66     node4   <无>           <无>
centos-temp3-p8qxs   1/1    运行中    0          50秒  10.233.71.26     node3   <无>           <无>
centos-temp3-ztqrb   1/1    运行中    0          50秒  10.233.102.157   node1   <无>           <无>
centos-temp4-4chdk   1/1    运行中    0          50秒  10.233.75.21     node2   <无>           <无>
centos-temp4-8fqtx   1/1    运行中    0          50秒  10.233.74.121    node4   <无>           <无>
centos-temp4-cqchs   1/1    运行中    0          50秒  10.233.71.21     node3   <无>           <无>
centos-temp4-lptjt   1/1    运行中    0          50秒  10.233.102.136   node1   <无>           <无>
centos-temp5-8xx8z   1/1    运行中    0          50秒  10.233.75.62     node2   <无>           <无>
centos-temp5-hbdtk   1/1    运行中    0          49秒  10.233.102.139   node1   <无>           <无>
centos-temp5-kfx7t   1/1    运行中    0          50秒  10.233.74.92     node4   <无>           <无>
centos-temp5-lzq44   1/1    运行中    0          50秒  10.233.71.60     node3   <无>           <无>

在单个集群节点上测试功能：
1. 前往网络页面（通过 GravityZone 左侧菜单），确认该节点的容器组中新增了5个容器。
2. 在受保护路径内创建恶意软件样本文件（例如EICAR测试字符串文件） （位于容器主机上） .
```
root@node3:~# echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /home/test1.txt
```
  反恶意软件实时防护功能将自动检测EICAR文件并将其移至隔离区。
3. 在受保护路径内创建恶意软件样本， 即在先前部署的某个容器内部 .
```
root@tcor-temp-workspace:~# kubectl exec -it centos-temp5-lzq44 -- bash
[root@centos-temp5-lzq44 /]# echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /home/test2.txt
```
  反恶意软件实时防护功能将自动检测EICAR文件并将其移至隔离区。
4. 前往事件页面（通过 GravityZone 左侧菜单），确认存在2起源自反恶意软件功能的事件：一起针对 test1.txt ，另一起针对 test2.txt .
您现在可以删除为此测试创建的容器组。

产品更新

与BEST Linux v7的软件包版本不同，安全容器不支持产品更新。当新镜像版本发布时，安全容器需重新部署 .

安全内容更新

您可通过以下任一流程执行安全内容更新：

设置自动签名更新（通过在容器主机上应用的Gravity Zone策略中启用该功能）。
手动执行更新（通过Gravity Zone在容器主机上创建更新任务）。

本节内容 :

容器保护（通过安全容器部署）

重要提示

提示

组件

安装与配置 容器保护

提示

重要提示

注意

注意

注意

注意

测试新功能

测试部署

注意

注意

测试实时防护功能

产品更新

安全内容更新

搜索结果

安装与配置容器保护