跳至主内容

容器防护(通过BEST部署)

容器防护 功能通过扩展和增强主机操作系统的安全层,为Linux容器工作负载及其主机提供保护。它集成了服务器工作负载端点检测与响应、高级反漏洞利用、Linux专用反漏洞利用技术以及反恶意软件扫描服务和威胁防护功能。您可选择性启用或禁用各安全模块。

重要提示

本功能可通过两个组件部署:

  • 一个 BEST 代理(含 容器防护 模块)需安装在已部署Docker的Linux主机上。

  • 一个 安全容器 部署在Linux主机端点下。 安全容器 是一个专用的Docker容器,运行Ubuntu 20.04基础镜像和 BEST for Linux的官方Debian包。它以特权容器身份运行在容器主机上。

本指南为您提供如何使用安装在Linux主机上的 BEST 代理部署该功能的信息。

组件

容器保护 使用以下组件:

  • GravityZone 控制中心

  • 安全代理( Bitdefender终端安全工具 安装在Linux端点上)

安装和配置 容器保护

重要提示

当端点上安装了 网络攻击防御 功能时, 容器保护 与之不兼容。

测试新功能

创建新容器并确保其被检测并出现在 GravityZone 资产清单

本指南选择为Ubuntu创建Docker镜像。您可使用任何受支持的Linux发行版创建容器,只要镜像可从Docker仓库获取。容器所选发行版可与宿主机不同。

  1. 创建新容器: 

    root@ubuntu23-x64-tcor:~# docker run -dt ubuntu:latest bash
529ca9f8970c879eb8e1192077afb059a0a14dde291478863056417ef12a16dc

  2. 验证容器运行状态: 

    root@ubuntu23-x64-tcor:~# docker ps
容器ID       镜像           命令       创建时间         状态         端口      名称
529ca9f8970c   ubuntu:latest   "bash"    32秒前        运行17秒             xenodochial_hermann

  3. GravityZone 中通过左侧菜单进入网络页面,检查新容器是否显示且无异常。详情参见 查看终端详情 .

  4. 确认容器已在页面显示。

测试实时防护功能

  1. 登录 GravityZone 使用具有 管理网络 权限的账户登录。

  2. 从左侧菜单进入 策略 页面并打开之前创建的策略。

  3. 转到 反恶意软件 > 实时防护 并点击 设置 按钮,该按钮位于 实时扫描 部分的右上角。

  4. 选择 高级 选项卡。

  5. 确保 Linux实时扫描 设置已启用,并在下方框中添加 /test 路径。

  6. 点击 添加 按钮。

    GZ_policy_antimalware_on-access_add_path_linux_398419_en.png

  7. 转到 常规 选项卡,在 扫描操作 部分,将 受感染文件的默认操作 设置为 删除 .

  8. 点击 保存 .

  9. 将策略应用到先前创建的容器上。更多信息请参阅 分配策略 .

  10. 在终端中,打开先前创建的容器的shell: 

    root@ubuntu23-x64-tcor:~# docker exec -it 529c bash
root@529ca9f8970c:/#

  11. 创建测试路径: 

    mkdir /test

  12. 在受保护的路径内写入反恶意软件测试文件: 

    root@529ca9f8970c:/# echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > /test/test1.txt

    反恶意软件实时防护功能将自动检测EICAR文件并将其移至隔离区。

检查反恶意软件活动报告

查看 GravityZone 报告中关于已删除文件的信息:

  1. 转到 网络 页面,位于 GravityZone 控制中心 .

  2. 选择需要生成报告的端点。

  3. 点击 报告 按钮生成 恶意软件状态 报告。

  4. 前往 报告 页面并查找该请求。

  5. 确认报告包含先前删除的文件:

    GZ_reports_deleted_antimalware_test_398419_en.png

    重要提示

    文件被删除是因为策略中对受感染文件采取的操作设置为 删除 .

    根据策略中选择的操作,文件将显示不同状态:

    • 不采取行动 - 已忽略

    • 拒绝 - 未解决

    • 移至隔离区 - 已隔离

在事件传感器中检查与检测到EICAR文件相关的事件

验证事件传感器对容器内文件是否生效:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单中选择 事件 页面。

  3. 选择 检测到的威胁 选项卡。

  4. 定位提及生成EICAR文件的主机名的事件:

    GZ_incidents_antimalware_test_398419_en.png

验证能否创建并保护多个容器

  1. 从终端创建多个容器(例如再创建5个容器): 

    root@ubuntu23-x64-tcor:~# for i in {1..5}; do docker run -dt ubuntu:latest bash; done
5b37d80408498340664f4c0b74043512a6af423734553c1b3802313b069e8e00
3356db2a2dbe2faea5589b520f81c4da71abc2561699a2ff6ab3f0a3e5bf9cc1
fb146eeab3c6db4cdccc281aa42e671118b7267e18e416baa2c21b84593ead0c
cbfea815f32300564fcf1698df20ad4b820a545a2f38945540259dbc5fb5862b
028c3597646dba1b7adca79767a4674552cfd843d2012b05f81dd67ebf083eab

  2. GravityZone 中前往 网络 页面(通过左侧菜单),检查新容器是否显示且无异常。更多信息请参阅 查看终端详情 .

    GZ_network_view_containers_398419_en.png
本节内容 :