通过容器安全卫士服务，可以轻松应对各种云原生应用威胁和风险。功能特性如下：

仪表盘

仪表盘通过图标可视化方式展示了镜像、容器、节点、镜像仓库、集群这些重要资产的数量统计信息、部署安全信息、以及安全威胁分布情况。可以更直观地显示各资产信息统计、漏洞信息统计、报警信息。使客户能够更快速的识别和了解威胁情况。

l 趋势和历史记录

提供可视化的界面和报告，以展示威胁情报的相关统计数据、趋势等信息，帮助决策者理解威胁情报的现状和趋势。

l 告警和事件管理

集成告警和事件管理系统，将安全事件和告警信息汇总展示在大屏幕上，并提供快速的事件处理和跟踪功能。

l 资产管理

展示每个资产的详细信息，包括集群资产、节点资产、命名空间、工作负载等资产，以帮助用户全面了解资产的特征和配置。

l 漏洞数据集成和可视化

将漏洞扫描结果数据进行集成，以可视化的方式展示漏洞分布、统计信息，帮助用户全面了解漏洞态势。

告警响应中心

系统实时监控容器的运行情况，能够对可能出现的所有异常行为进行捕获和发出告警，并针对不同的入侵行为给出响应的安全处理建议，可在响应中心中查看所有入侵事件具体信息。并支持在响应中心对不同状态的容器进行相应的操作改变其状态，包括：解除隔离、启动容器、隔离容器、杀容器、暂停容器、一键封堵。

l 支持多种风险行为监测

支持检测诸如启动特权容器、容器逃逸行为、读取敏感文件、启动恶意进程、挂载非法设备、映射敏感目录、反弹SHELL连接操作、修改命名空间等多种风险行为的检测。

l Pod隔离

支持对Kubernetes集群内Pod之间的通信进行网络隔离控制。

l ATT&CK模型视角展示

基于攻击者视角显示攻击各阶段信息，反映了攻击者攻击生命周期以及各个攻击阶段的目标。

l 一键封堵

当生产环境内出现异常IP可通过一键封堵功对IP进行封堵，防止造成更大的损害。

镜像安全

镜像作为容器运行的基础，如果存在安全隐患、风险问题，将直接影响到容器环境的安全性。面对镜像中可能存在的安全问题，需要对业务环境主机中和镜像仓库中的镜像资产，进行自动扫描或手动扫描来识别风险，对危险镜像基于策略进行阻断，对高危镜像提供可写入dockerfile的修复建议。支持对容器镜像制作过程、镜像运行、镜像发布进行全方位的监控和检测。提供了自动获取节点和仓库中的镜像并从CVE漏洞、CNNVD漏洞、木马病毒、可疑历史操作、敏感信息泄露、以及是否是可信任镜像等多个维度对镜像进行扫描。

l 镜像运行风险识别与处理

能够设置镜像运行的安全策略，不符合安全策略的镜像将禁止运行，安全策略包括不允许以root用户启动、禁止镜像中存在木马病毒、阻止存在特定软件漏洞的镜像等。

l 支持多种镜像仓库的适配

面对不同的客户使用场景，平台支持同步Harbor、JForg、Huawei、Registry等多种镜像仓库适配。

l 快速的镜像扫描

镜像扫描速度快，结果准确，10G镜像仅需10秒。

l 深入的镜像文件与软件包检测

在快速扫描的基础上增加扫描第三方依赖库、Web框架库和病毒木马等恶意文件检测，更加深入地保证镜像资产的安全。

l 支持一键生成镜像报告

镜像扫描完成后，用户可以一键生成镜像的合规检测报告，便于用户查看风险信息总览、风险镜像列表、漏洞列表、风险修复建议等信息。

l 安全溯源

实时检测镜像历史中引入的安全风险信息，包括镜像层的构建命令、操作时间、引入的安全问题等信息。

容器安全

容器运行时的安全状况是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面，现有手段无法快速发现针对容器层面的入侵行为。而传统云平台提供的管理平台虽可查看容器状态并进行容器隔离，但无法针对随时可能出现的异常行为进行持续监控与实时报警。若无法设置预警与实时报警，入侵者极有可能通过漏洞远程操作容器执行命令实现入侵，从而导致重要数据泄露。

支持对容器内行为进行检测。当发现容器逃逸行为、读取敏感信息、启动恶意进程、挂载非法设备、映射敏感目录、修改命名空间等恶意行为时，根据预设策略触发报警或阻断容器运行，并对发现异常的Pod进行隔离。

l 支持自定义策略设置

根据用户的生产场景支持对集群、命名空间、节点等维度设置检测规则。

l 容器文件保护

通过对容器内文件读写行为的学习，创建容器内文件读写行为的白名单，并以此识别所有异常读写容器内文件的行为，并及时发送报警。

l 数据取证

对容器运行进程进行监控并记录，在追溯风险行为来源时能够快速查找攻击源头，及时排错。

l 容器运行时监控

支持实时检测运行中的容器CPU占用、内存占用情况。

节点安全

集群部署后，运维人员需时刻关注集群内的master节点与node节点的在线情况，以及是否存在安全风险。针对存在安全风险的节点，需支持将风险信息生成报表，交由安全部门处理，保证节点上的资产安全运行。

l 节点入侵检测

支持对节点入侵事件的实时监测，包括主机反弹Shell、高危系统调用等。

l 节点扫描

支持设置扫描周期，按时扫描节点上的软件包是否存在漏洞，并给出修复建议。

l 支持自定义开启/关闭节点防护

支持自定义开启或关闭对节点的防护，关闭防护后当前节点上的所有资产将不再受保护。