UnisGuard容器安全防护平台

UnisGuard容器安全防护平台采用自动检测、自动分析、自动处理的方式来防御整个容器生命周期中所遇到的安全威胁，在防护技术上使用智能测试、机器学习与威胁预测的方式来确保容器及容器内的应用安全。

镜像安全

容器防护平台支持对容器镜像制作过程、镜像运行、镜像发布进行全方位的监控和检测。提供了自动获取节点和仓库中的镜像并从CVE漏洞、CNNVD漏洞、木马病毒、可疑历史操作、敏感信息泄露、以及是否是可信任镜像等多个维度对镜像进行扫描。

容器安全

容器安全防护平台支持对容器内行为进行检测。当发现容器逃逸行为、读取敏感信息、启动恶意进程、挂载非法设备、映射敏感目录、修改命名空间等恶意行为时，根据预设策略触发报警或阻断容器运行，并对发现异常的POD进行隔离。

微服务安全

容器防护平台提供了对微服务、应用进行周期性的检测。支持自动检测发现Kubernetes集群内的微服务以及API并通过可视化视角展示出来。能够通过手动或周期性自动发现的微服务以及API进行安全风险扫描。

集群安全

针对不同的项目情况、支持对Kubernetes、OpenShift 、Rancher等集群的不同版本进行安全风险扫描。对于部署资源所编写的编排文件，支持一键同步并扫描编写内容是否存在风险以及是否符合编写规范。并支持对集群内的组件进行检查和对集群的审计通过多方位的检测方式保证集群的安全。

资产管理

资产管理类型包括容器、镜像、仓库、主机、POD等，为用户提供容器内资产的分类视图，支持对每一类资产进行数据分级聚合展示，实现容器资产的全面可视化，帮助用户更直观的了解当前系统内的资产情况。

漏洞管理

系统实时监控所有节点镜像和远程镜像仓库中镜像漏洞和运行容器的漏洞，通过对漏洞整合进行风险分析确定最急需处理的风险，帮助客户快速有效的解决风险。并为运维人员提供漏洞信息、漏洞类型、漏洞介绍、修复建议、参考地址等信息。

网络可视化

容器防护平台自动检测发现Kubernetes集群内的运行容器，应用以及镜像，关联相对应的安全风险进行汇总，展示安全风险的数量以及风险级别的分布。

多面镜像安全检测能力

支持识别容器镜像的基础镜像以及应用程序中间件漏洞检测，通过对制作的镜像文件进行安全扫描，以发现镜像文件中的安全漏洞、镜像文件中的木马病毒等安全风险，对风险镜像提供安全加固建议。

容器安全监测能力

对容器内应用的安全漏洞识别、网络威胁检测，对容器运行过程进行全程的安全监控，进而对容器访问宿主机的资源进行监控，防止有越权访问破坏容器隔离性的行为，从而保证容器内应用的安全。

通过行为学习构建容器行为模型

容器开始运行后，按照相应的学习策略，自动学习容器的进程行为、文件读写行为与网络访问行，为目标容器构建行为模型，保证容器运行中的安全，即使用户没有自定义安全策略，默认策略仍能保证基本的安全防护需求。

兼容多种运行环境

面对不同客户的复杂环境，支持支持Ubuntu、CentOS、银河麒麟等多种不同操作系统的多个版本、支持Docker 1.13.X及以上版本等多种运行环境，满足不同环境所需。

支持镜像加固

支持对容器镜像制作到发布进行全方位的监控和检测。对于存在高风险的镜像，平台能够给出相应的加固建议，协助研发人员对镜像进行加固，确保镜像的安全质量达到发布要求。

容器防护平台支持全组件容器化部署，采用云原生的形态，防护云原生安全，具有以下特点： ● 资源隔离：通过资源限制，即使故障也不影响业务进程 ● 弹性扩缩容：可随集群规模进行动态扩缩容，无须人工干预 ● 兼容性强：与底层操作系统无关，只要支持容器，即可兼容适配 ● 健康管理：不会被杀死, 不会被篡改, 秒级自启动

针对容器出现的风险和威胁性，传统防护手段已经失效，纵观容器的生命周期，容器中的应用是由模板文件进行编译成镜像，镜像通过运行变成容器，最终以容器的方式运行其中的应用。在整个容器的安全生命周期中，容器安全防护平台采用自动检测、自动分析、自动处理的方式来防御整个容器生命周期中所遇到的安全威胁，使用智能检测、机器学习与威胁预测，来确保容器应用安全，从容器视角为云原生的全生命提供整体安全防护的解决方案。