稳定性☆ACK安全沙箱适用场景 场景一:相对于runC容器,安全沙箱(runV)容器可以强隔离不可信应用 runC容器的安全风险 通过Namespace和Cgroups技术隔离的容器攻击面大。节点上所有容器共享Host Kernel,一旦内核出现漏洞,恶意代码会逃逸...
组件介绍 policy-template-controller组件是为实现新版容器安全策略管理功能而开发的K8s控制器,能帮助您更好地管理基于模板部署的策略实例和集群的整体治理状态。更多信息,请参见 配置容器安全策略。使用说明 关于policy-template-...
容器安全性 为RAM用户或RAM角色授予RBAC权限 检测并监控容器的运行时安全
更多信息,请参见 配置容器安全策略(新版)和 容器安全策略规则库说明。止血方案2 您需要及时收敛非管理员用户创建和修改Ingress实例的权限。修复方案 您可以关注Nginx Ingress Controller组件发布公告,及时升级该组件。更多该组件发布...
更多信息,请参见 配置容器安全策略(新版)和 容器安全策略规则库说明。止血方案3 您需要及时收敛非管理员用户创建和修改Ingress实例的权限。修复方案 您可以关注Nginx Ingress Controller组件发布公告,及时升级该组件。更多该组件发布...
更多信息,请参见 配置容器安全策略(新版)和 容器安全策略规则库说明。止血方案3 您需要及时限制非管理员用户创建和修改Ingress实例的权限。修复方案 您可以关注Nginx Ingress Controller组件发布公告,及时升级该组件。更多该组件发布...
如果您对容器安全有较高的要求,建议您选择购买 旗舰版。各版本的功能差异详情,请参见 功能特性。说明 如果您仅需使用云安全中心提供的镜像安全扫描服务,您可以将版本选择为 仅采购增值服务,然后购买足够的 容器镜像安全扫描 数量。设置...
组件介绍 policy-template-controller组件是为实现新版容器安全策略管理功能而开发的K8s控制器,能帮助您更好地管理基于模板部署的策略实例和集群的整体治理状态。更多信息,请参见 配置容器安全策略(新版)。使用说明 关于policy-...
ACK集群容器安全策略供了种类丰富的内置规则库,包括Compliance、Infra、K8s-general和PSP,旨在确保容器在生产环境中的安全运行。您可以调用DescribePolicies接口,查询策略治理规则库的列表。调试 您可以在OpenAPI Explorer中直接运行该...
ACK集群容器安全策略供了种类丰富的内置规则库,包括Compliance、Infra、K8s-general和PSP,旨在确保容器在生产环境中的安全运行。您可以调用DescribePolicies接口,查询策略治理规则库的列表。调试 您可以在OpenAPI Explorer中直接运行该...
云原生应用交付链 在容器安全高效交付场景中,您可以使用容器镜像服务的云原生应用交付链功能,配置镜像构建、镜像扫描、镜像全球同步和镜像部署等,自定义细粒度安全策略,实现全链路可观测、可追踪的安全交付。保障代码一次提交,全球多...
云安全中心主机及容器安全授权数是指您购买的包年包月实例中的保有服务器台数和计算核数,或开通主机及容器安全按量付费功能后绑定付费防护等级的服务器数量。通过将防护版本(或防护等级)与服务器绑定,可使指定服务器使用对应的安全防护...
云安全中心提供了容器K8s威胁检测和容器防逃逸等容器安全能力,您可以通过开启对应功能为您的容器运行环境提供安全防护。本文介绍容器防护设置支持的功能及如何设置相应功能。容器K8s威胁检测 容器K8s威胁检测能力支持实时检测正在运行的...
使用 配置容器安全策略 中的ACKAllowedRepos策略,限制只使用可信仓库来源的镜像,同时基于最小化权限原则确保只有可信人员具有导入镜像的权限。使用 使用容器镜像加签 和 使用kritis-validation-hook组件实现自动验证容器镜像签名 功能,...
runC容器和安全沙箱(runV)容器方案对比 配置 runC容器 安全沙箱(runV)容器 容器引擎 Docker、Containerd Containerd 容器所在节点型号 ECS、EBM EBM 容器内核 与宿主机共享内核 独占内核 容器隔离方式 Cgroups和Namespace 轻量虚拟机 ...
容器安全策略规则库说明 中的所有策略 容器安全策略规则库说明 中的所有策略 云安全中心提供的 容器主动防御 注意事项 仅适用于Linux节点。不支持自定义策略规则。所有规则均来自于阿里云容器服务内置的规则库。步骤一:安装或升级 安全...
容器安全策略规则库说明 中的所有策略 容器安全策略规则库说明 中的所有策略 云安全中心提供的 容器主动防御 注意事项 仅适用于Linux节点。不支持自定义策略规则。所有规则均来自于阿里云容器服务内置的规则库。步骤一:安装或升级 安全...
在注册集群中配置容器安全策略(新版)7.2 使用云安全中心 在注册集群中安装和使用云安全中心 7.3 使用集群审计 启用集群API Server审计功能 使用ACK调度器 通过ack-co-scheduler组件实现协同调度 相关文档 使用 ACK One注册集群 前,请...
通过使用 启用安全策略管理 中的 容器安全策略规则库说明 策略,限制在集群指定范围内部署的Pod禁止使用的Volume挂载类型,使该类Pod禁止使用gitRepo存储卷,从而限制攻击者使用gitRepo存储卷。请您及时关注涉及该漏洞修复的容器服务ACK...
云安全中心具备针对容器安全的一体化防护能力,支持针对容器的漏洞、配置合规、攻击入侵等行为进行实时的检测和防御。将容器资产接入云安全中心后,您可以通过云安全中心统一管理容器资产。本文介绍如何查看容器资产中存在的安全风险。版本...
Kubernetes社区披露了CVE-2023-2727和CVE-2023-2728两个关于kube-apiserver的安全漏洞。...关于安全策略的更多信息,请参见 配置容器安全策略(新版)。通过关注和检索APIServer审计日志,可以及时发现使用了可疑镜像或Secrets的临时容器。
按量付费服务:已开通 主机及容器安全 按量付费(若未开通,请前往 购买)。说明 服务器需设置防护等级为 主机及容器全面防护,具体操作请参见 绑定服务器防护等级。使用容器微隔离功能是否需要额外付费?不需要。开通了云安全中心旗舰版后...
ACK容器服务提供了PSP安全策略的控制台配置能力,具体操作,请参见 配置容器安全策略(新版)。装gatekeeper组件,具体操作,请参见 gatekeeper。基于 示例OPA策略。如果因为业务原因必须使用Host Networking配置,建议您在Pod的 ...
安全沙箱Pod和runC Pod配置特权容器的方式相同。他们的区别在于runC Pod配置的是主机的内核,安全沙箱Pod配置的是沙箱的内核。可通过以下命令配置特权容器:containers:name:busybox securityContext:privileged:true 完整的YAML示例如下:...
Gatekeeper准入控制器使用开放策略(OPA)的策略,提供了更符合K8s应用场景的安全策略规则。借助Gatekeeper组件,...相关文档 关于策略治理支持的四类内置规则库,包括Compliance、Infra、K8s-general和PSP,请参见 容器安全策略规则库说明。
ACK提供了基于OPA和gatekeeper的 容器安全策略 能力,可以验证在集群上创建和更新Pod的请求,该请求基于用户配置的安全规则。如果创建或更新Pod的请求不符合定义的规则,系统将拒绝该请求并返回错误。同样,您可以通过部署 ...
运行时部署结构对比 运行时 部署结构 Docker kubelet└─dockerd└─containerd└─containerd-shim└─runC容器 containerd kubelet└─containerd└─containerd-shim└─runC容器 安全沙箱v2 kubelet├─(CRI)containerd│├─...
ACK提供了基于OPA和gatekeeper的 容器安全策略 能力,可以验证在集群上创建和更新Pod的请求,该请求基于用户配置的安全规则。如果创建或更新Pod的请求不符合定义的规则,系统将拒绝该请求并返回错误。同样,您可以通过部署 ...
恶意样本:提供容器恶意样本的检测能力,为您展示资产中存在的容器安全威胁,帮助您找到存在恶意样本的位置,便于您根据位置修复恶意样本,大幅降低您使用容器的安全风险。为企业版实例配置VPC网络。具体操作,请参见 配置专有网络的访问...
索引 背景信息 前提条件 注意事项 安装策略治理组件 策略规则库说明 查看集群当前策略治理状态 查看策略列表和集群中已部署的策略实例 创建策略实例 修改策略实例 删除策略实例 背景信息 注册集群的容器安全策略相较于原PSP...
按量付费服务:已开通 主机及容器安全 按量付费(若未开通,请前往 购买)。已创建非对称加密算法的KMS密钥。有关创建KMS密钥的详细内容,请参见 管理密钥。重要 由于非对称密钥算法才支持容器签名功能,创建KMS密钥时,密钥类型 必须选择 ...
按量付费模式:开通按量付费功能 时,主机及容器安全 选择 是,然后为目标集群所在服务器完成 旗舰版 授权,具体操作请参见 绑定服务器防护版本(按量付费版)。容器资产全景展示的镜像漏洞信息是从 镜像安全扫描 功能获取的。如果有获取...
本文介绍应用容器安全的常见问题及解决方案。为什么容器之间网络不通?如何给Kubernetes集群指定安全组?集群审计功能是否可以取消或者在创建集群后再部署?Kubernetes专有版本集群如何更换证书有效期,以及如何更换各个组件的证书?Pod...
本文介绍应用容器安全的常见问题及解决方案。为什么容器之间网络不通?如何给Kubernetes集群指定安全组?集群审计功能是否可以取消或者在创建集群后再部署?Kubernetes专有版本集群如何更换证书有效期,以及如何更换各个组件的证书?Pod...
本文介绍应用容器安全的常见问题及解决方案。为什么容器之间网络不通?如何给Kubernetes集群指定安全组?集群审计功能是否可以取消或者在创建集群后再部署?Kubernetes专有版本集群如何更换证书有效期,以及如何更换各个组件的证书?Pod...
UserNamespacesSupport进阶至Beta,默认启用,允许Pod使用Linux用户命名空间(User Namespaces)以增强容器安全性。该能力不影响现有Pod。如需使用,可手动指定 pod.spec.hostUsers。详情请参见 User Namespaces enabled by default。...
且容器安全的风险不仅存在自身的技术栈内,运行容器的基础设施的安全水位从底层影响着容器的运行安全。适用客户 云上有容器环境的客户。容器资产盘点和管理 场景描述 企业内部有自建的容器集群和自建的容器镜像仓,安全部门缺少抓手对容器...
配置容器安全启动策略。此策略文件作为机密资源,在TDX Pod启动过程中被读取,触发远程证明流程。创建策略存储目录 mkdir-p/opt/trustee/kbs/repository/default/container-policy#写入一个允许所有镜像的策略文件(仅供示例)cat EOF/opt/...
全部 配置容器安全策略(新版)节点池自动伸缩支持配置优先级参数 节点池自动伸缩策略支持配置节点池的优先级。如果您有多个可扩容节点池,ACK会按照您自定义的伸缩组顺序,选择优先级高的节点池进行扩容。全部 节点自动伸缩 阿里云ALB ...
本文介绍安全沙箱NAS直接挂载的实现原理,以及如何将NAS直接挂载到安全沙箱容器中。背景信息 virtio-fs是一个共享的文件系统,可以将Volume、Secret、ConfigMap等共享到虚拟机GuestOS内,从而以原生的方式通过Volume挂载NAS。但这种方式下...