UnisGuard容器安全防護平臺

UnisGuard容器安全防護平臺采用自動檢測、自動分析、自動處理的方式來防御整個容器生命周期中所遇到的安全威脅，在防護技術上使用智能測試、機器學習與威脅預測的方式來確保容器及容器內的應用安全。

鏡像安全

容器防護平臺支持對容器鏡像制作過程、鏡像運行、鏡像發布進行全方位的監控和檢測。提供了自動獲取節點和倉庫中的鏡像并從CVE漏洞、CNNVD漏洞、木馬病毒、可疑歷史操作、敏感信息泄露、以及是否是可信任鏡像等多個維度對鏡像進行掃描。

容器安全

容器安全防護平臺支持對容器內行為進行檢測。當發現容器逃逸行為、讀取敏感信息、啟動惡意進程、掛載非法設備、映射敏感目錄、修改命名空間等惡意行為時，根據預設策略觸發報警或阻斷容器運行，并對發現異常的POD進行隔離。

微服務安全

容器防護平臺提供了對微服務、應用進行周期性的檢測。支持自動檢測發現Kubernetes集群內的微服務以及API并通過可視化視角展示出來。能夠通過手動或周期性自動發現的微服務以及API進行安全風險掃描。

集群安全

針對不同的項目情況、支持對Kubernetes、OpenShift 、Rancher等集群的不同版本進行安全風險掃描。對于部署資源所編寫的編排文件，支持一鍵同步并掃描編寫內容是否存在風險以及是否符合編寫規范。并支持對集群內的組件進行檢查和對集群的審計通過多方位的檢測方式保證集群的安全。

資產管理

資產管理類型包括容器、鏡像、倉庫、主機、POD等，為用戶提供容器內資產的分類視圖，支持對每一類資產進行數據分級聚合展示，實現容器資產的全面可視化，幫助用戶更直觀的了解當前系統內的資產情況。

漏洞管理

系統實時監控所有節點鏡像和遠程鏡像倉庫中鏡像漏洞和運行容器的漏洞，通過對漏洞整合進行風險分析確定最急需處理的風險，幫助客戶快速有效的解決風險。并為運維人員提供漏洞信息、漏洞類型、漏洞介紹、修復建議、參考地址等信息。

網絡可視化

容器防護平臺自動檢測發現Kubernetes集群內的運行容器，應用以及鏡像，關聯相對應的安全風險進行匯總，展示安全風險的數量以及風險級別的分布。

多面鏡像安全檢測能力

支持識別容器鏡像的基礎鏡像以及應用程序中間件漏洞檢測，通過對制作的鏡像文件進行安全掃描，以發現鏡像文件中的安全漏洞、鏡像文件中的木馬病毒等安全風險，對風險鏡像提供安全加固建議。

容器安全監測能力

對容器內應用的安全漏洞識別、網絡威脅檢測，對容器運行過程進行全程的安全監控，進而對容器訪問宿主機的資源進行監控，防止有越權訪問破壞容器隔離性的行為，從而保證容器內應用的安全。

通過行為學習構建容器行為模型

容器開始運行后，按照相應的學習策略，自動學習容器的進程行為、文件讀寫行為與網絡訪問行，為目標容器構建行為模型，保證容器運行中的安全，即使用戶沒有自定義安全策略，默認策略仍能保證基本的安全防護需求。

兼容多種運行環境

面對不同客戶的復雜環境，支持支持Ubuntu、CentOS、銀河麒麟等多種不同操作系統的多個版本、支持Docker 1.13.X及以上版本等多種運行環境，滿足不同環境所需。

支持鏡像加固

支持對容器鏡像制作到發布進行全方位的監控和檢測。對于存在高風險的鏡像，平臺能夠給出相應的加固建議，協助研發人員對鏡像進行加固，確保鏡像的安全質量達到發布要求。

容器防護平臺支持全組件容器化部署，采用云原生的形態，防護云原生安全，具有以下特點： ● 資源隔離：通過資源限制，即使故障也不影響業務進程 ● 彈性擴縮容：可隨集群規模進行動態擴縮容，無須人工干預 ● 兼容性強：與底層操作系統無關，只要支持容器，即可兼容適配 ● 健康管理：不會被殺死, 不會被篡改, 秒級自啟動

針對容器出現的風險和威脅性，傳統防護手段已經失效，縱觀容器的生命周期，容器中的應用是由模板文件進行編譯成鏡像，鏡像通過運行變成容器，最終以容器的方式運行其中的應用。在整個容器的安全生命周期中，容器安全防護平臺采用自動檢測、自動分析、自動處理的方式來防御整個容器生命周期中所遇到的安全威脅，使用智能檢測、機器學習與威脅預測，來確保容器應用安全，從容器視角為云原生的全生命提供整體安全防護的解決方案。