容器运行时目前有多种办法:
1、通过宿主机agent的形式来监控容器行为,包括入侵,反弹shell等行为
2、通过平行容器的方式来监控容器,效果类似,与上一个的区别在于无法监控宿主机的行为
3、通过进程白名单的形式,建议采用这种形式。容器与主机不同,就在于其足够单一,一个容器的进程通常不会太复杂,因此,可以通过白名单的形式来进行安全监控,实现方式平行容器和宿主机agent都可
4、流量监测的形式发现异常行为,这种目前不太好做,因为容器内部流量较大,尤其时集群内东西向流量,因此流量监测能做,但是不好做
现在的建议是采用进程白名单的形式来做