讲容器安全，我们一般要分场景考虑，第一种是私有云场景，第二种是公有云场景。一般来说，单从容器自身角度来说，楼上兄弟答的很不错，基本覆盖了相关场面。但如果我们面对的是私有云场景，那么最重要的还是在于镜像安全扫描，包括操作系统缺陷漏洞、应用程序漏洞等；还需要配合网络隔离，安...

可以从以下几个方面进行综合治理。- 对业务应用系统使用的开源项目、开源类库进行强管理，加强CVE漏洞缺陷的处理。- 制定编程的安全规范，推广落地，提升团队工程化水平。- 在DEVOPS的流水线，引入代码扫描，对问题代码增加门禁处理，防止缺陷代码进入生产环境。- 应用投产，使用...

- 总体上，容器云安全，是在传统安全体系进行衔接和扩展对接。譬如容器的入侵检测、入侵拦截纳入到SOC安全运营中心中进行统一响应处理。- 对入侵事件进行分类，并且制定相应的处理策略。譬如南北流量，互联网接入DMZ区的响应处理，首先是在防火墙或者ingress处理断开流量。- 容...

- 基线一般指配置和管理系统的详细描述，是信息系统的最小安全保证, 最基本需要满足的安全要求，包括服务和应用程序设置、操作系统组件的配置、权限和权利分配、管理规则等. - 在容器云安全中，首先是做好容器base image的管理，即打选容器的黄金镜像，通常是在ISO镜像或者各...

进行系统恶意文件检测可以给予CVE规则库对文件系统进行扫描：1. 一般可以对宿主机上的所有镜像层进行扫描，一般docker镜像存储在/var/lib/docker目录下，我们可以运行进程对改目录下每一个镜像层进行扫描，然后根据 CVE库对每一层的文件进行匹配，判断是否存在恶意文件。2.如果...

针对容器和宿主机异常行为，可以使用Sysdig捐献给CNCF基金会的容器安全产品Falco, Falco可以轻松使用内核时间，并使用K8s的审计日志等信息补充和丰富事件，Falco提供一组针对K8s、Linux和云原生的构建的安全规则，根据行为是否违反规则，来判断这次行为是否为异常，并发送警告。 Fa...

大部分是通用的，最主要的区别在于容器在细粒度的检测和控制上，往往不能过分追求。1、在应用层上，waf，流量监测等手段一样能用，但如果想做全流量就比较困难，因为容器和容器之间的流量不容易转发，也就不容易检测。2、“主机”层面，关注点一样，但实现手段不一样。关注的点都是异常行...

所有的操作都记录下操作日志，不同的租户不同的用户能够明确区分，不过需要在容器云平台上实现相应的能力。k8s提供了相应的访问控制方法，k8s层也可以实现详细审计k8s对资源可以设置限额，通过存储卷配置，可以配置serviceaccount...

先说一下我们的容器云安全体系的建立过程：首先，在CI/CD过程中Source-to-image过程中，要对代码进行漏洞扫描，并对生成的镜像进行居于CVE扫描，只有安全扫描通过的镜像才允许上传镜像仓库，并生成镜像签名；也需要定期对镜像仓库扫描；其次，在CD过程中，基于K8s动态准入提供镜像扫描，并指定...

容器安全加固方面，也有相关的最佳实践，很多安全公司现在都有这方面的实践和建议，比如对dockerfile的安全配置建议，对于k8s yaml的安全配置建议。这些建议很多是来自CIS，可以根据自己的实际情况选择使用。CIS对于k8s组件的配置也有一套安全规范可以参考。如果有合作的安全公司...