1、基于微服务架构的业务应用系统，在系统内，各个微服务之间调用的流量，属于东西流量，通常是不做网络隔离策略。2、在系统外，是属于南北流量，可以在流量入口的负载均衡，防火墙，K8S集群的Ingress上评估做网络策略。...

讲容器安全，我们一般要分场景考虑，第一种是私有云场景，第二种是公有云场景。一般来说，单从容器自身角度来说，楼上兄弟答的很不错，基本覆盖了相关场面。但如果我们面对的是私有云场景，那么最重要的还是在于镜像安全扫描，包括操作系统缺陷漏洞、应用程序漏洞等；还需要配合网络隔离，安...

- 总体上，容器云安全，是在传统安全体系进行衔接和扩展对接。譬如容器的入侵检测、入侵拦截纳入到SOC安全运营中心中进行统一响应处理。- 对入侵事件进行分类，并且制定相应的处理策略。譬如南北流量，互联网接入DMZ区的响应处理，首先是在防火墙或者ingress处理断开流量。- 容...

进行系统恶意文件检测可以给予CVE规则库对文件系统进行扫描：1. 一般可以对宿主机上的所有镜像层进行扫描，一般docker镜像存储在/var/lib/docker目录下，我们可以运行进程对改目录下每一个镜像层进行扫描，然后根据 CVE库对每一层的文件进行匹配，判断是否存在恶意文件。2.如果...

大部分是通用的，最主要的区别在于容器在细粒度的检测和控制上，往往不能过分追求。1、在应用层上，waf，流量监测等手段一样能用，但如果想做全流量就比较困难，因为容器和容器之间的流量不容易转发，也就不容易检测。2、“主机”层面，关注点一样，但实现手段不一样。关注的点都是异常行...