导航
容器服务
搜索目录或文档标题搜索目录或文档标题
产品动态
历史功能发布记录
产品公告
安全公告
Kubernetes 版本发布记录
组件发布记录
监控组件
DNS 组件
GPU 组件
用户指南
网络
服务(Service)
路由(Ingress)
ALB Ingress
CLB Ingress
Nginx Ingress
APIG Ingress
域名解析(DNS)
工作负载
存储管理
TOS 对象存储卷
NAS 文件存储卷
CloudFS 大数据文件存储卷
弹性伸缩
GPU
可观测性
AIOps 套件
注册集群
弹性容器实例
最新动态
对接 VCI
创建实例
最佳实践
网络
云原生 AI
API 参考
集群管理
弹性容器实例
常见问题
通用 FAQ
集群 FAQ
节点与节点池 FAQ
工作负载 FAQ
服务与路由 FAQ
存储 FAQ
弹性伸缩 FAQ
可观测性 FAQ
授权 FAQ
配额 FAQ
组件 FAQ
容器镜像 FAQ
VCI FAQ
- 文档首页 /容器服务/用户指南/安全管理/应用巡检
应用巡检
最近更新时间:2023.07.06 10:34:13首次发布时间:2022.03.04 23:10:39
文档反馈
应用巡检基于业界的一些安全要求规范,结合容器安全最佳实践,为用户提供应用安全巡检能力。应用巡检可以及时发现并阻止用户部署的不安全配置,并提示用户进行修复,以免应用被攻击或利用,保障用户业务稳定、安全地运行。
应用巡检弥补了基线巡检未覆盖的 Workload、Pod、ConfigMap 等 Kubernetes 原生资源的安全扫描检查。可通过巡检系统,帮助用户发现 Kubernetes 原生资源中潜在的安全隐患并给出修复建议,有效提升容器集群云原生应用的安全性。
前提条件
- 已创建集群,且集群内已存在 Workload、Pod 或 ConfigMap 等 Kubernetes 资源。详细操作,请参见 创建集群、工作负载、创建配置项。
- 确保当前集群已安装应用巡检所需的 application-inspector 组件,为集群提供应用安全巡检能力。详细操作,请参见 安装组件。
说明
后续卸载该组件后,系统会自动删除所有应用巡检数据。
配置巡检策略
执行巡检之前,可以配置巡检策略。
- 登录 容器服务控制台。
- 单击左侧导航栏中的 集群。
- 在集群列表页面,单击目标集群。
- 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检,单击 策略配置。
- 在 策略配置 对话框,按需配置参数。
参数 描述 周期巡检 打开按钮,可按照固定周期进行应用巡检。详细的配置说明和操作步骤,请参见本文下方 配置周期巡检。 巡检项
容器服务提供 基线策略、加固策略、漏洞缓解策略 三种巡检分类,各分类具有不同的巡检项,请按需勾选巡检项。
说明
- 已配置的巡检项,对 立即巡检 和 周期巡检 均生效。
- 鼠标悬浮到具体巡检项后,可查看该巡检项的策略说明。
配置立即巡检
手动立即触发一次应用巡检。可参考以下步骤执行立即巡检:
- 登录 容器服务控制台。
- 单击左侧导航栏中的 集群。
- 在集群列表页面,单击目标集群。
- 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检,单击 立即巡检。
- 在系统弹出的提示框中,确认巡检任务相关提示信息。
- 单击 确定,开始巡检。
配置周期巡检
设置每月或每周指定日期的固定时间点,周期性自动触发应用巡检任务。可参考以下步骤配置周期巡检:
- 登录 容器服务控制台。
- 单击左侧导航栏中的 集群。
- 在集群列表页面,单击目标集群。
- 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检,单击 策略配置。
- 在 策略配置 对话框,开启 周期巡检,并配置巡检周期。
巡检周期支持 每周 或 每月,同时配置具体的时间。巡检项 的配置,请参见本文上方 配置巡检策略。
- 单击 确定,保存周期巡检配置。
配置完成后,系统将按巡检周期,自动触发巡检任务并输出报告。应用巡检仅保留最近一次巡检报告,请及时查看巡检报告。
查看巡检报告
巡检完成并输出巡检报告后,可按需筛选风险类型、资源级别等,查看巡检结果。
- 登录 容器服务控制台。
- 单击左侧导航栏中的 集群。
- 在集群列表页面,单击目标集群。
- 在集群管理页面的左侧导航栏中,选择 安全管理 > 应用巡检。
- 按需筛选 风险类型、资源级别,查看巡检结果。
- 单击巡检巡检资源名称右侧 操作 列的 详情,支持查看该资源的各个巡检项结果。
- 单击巡检项后面的 详情,支持查看各个巡检项相关的 策略说明、安全风险说明、修复建议 和 备注。
- 单击巡检巡检资源名称右侧 操作 列的 详情,支持查看该资源的各个巡检项结果。