容器安全

从使用 Prisma Cloud 构建到运行,在任何公有或私有云上保护 Kubernetes® 和其他容器平台。
Container Security Hero Front Image
Container Security Hero Back Image

容器、Kubernetes 和容器即服务 (CaaS) 已成为大规模打包和编排服务的主流方式。同时,这些业务需要确保具备专门构建的安全性,以解决其容器化应用的漏洞管理、合规性、运行时保护和网络安全要求。

Prisma Cloud 在 Forrester Wave™ 中被评为 CWS 领域的领导者。

跨整个应用生命周期的容器安全性

Prisma®Cloud 扫描容器镜像并强制执行策略,作为持续集成和持续交付工作流的一部分,持续监控存储库和注册表中的代码,并保护托管和非托管运行时环境的安全 - 将风险优先级划分与大规模运行时保护相结合。
  • 支持公有和私有云
  • 用于托管和非托管环境的单一控制台
  • 存储库、镜像和容器的完整生命周期安全
  • 漏洞管理
    漏洞管理
  • 容器合规性
    容器合规性
  • CI/CD 安全
    CI/CD 安全
  • 运行时防御
    运行时防御
  • 访问控制
    访问控制

Prisma Cloud 解决方案

我们的容器安全方法

漏洞管理

首先要在构建、部署和运行阶段,对来自容器的所有依赖项有充分的可视性。Prisma Cloud 在主机上运行的 CI/CD 管道和容器中,或在公有和私有云中作为服务的容器中,不断聚合漏洞并对其进行优先级划分。

  • 通过指导确定补救措施的优先级

    通过十大漏洞列表,确定所有已知 CVE、补救指南和按层镜像分析的风险优先级划分。

  • 为安全级别添加带有警报和阻止功能的护栏

    在构建时和运行时控制单个服务和服务组的警报和阻止严重性级别。

  • 利用无与伦比的准确性

    使用 30 多个上游数据源最大限度地减少误报。Prisma Cloud 专注于只向开发人员和安全团队提供准确的漏洞信息。

  • 整个生命周期中提供漏洞信息

    集成漏洞管理以扫描存储库、注册表、CI/CD 管道和运行时环境。

漏洞管理

容器合规性

与基于服务器的整体结构相比,容器环境的维护者面临着独特的配置挑战。Prisma Cloud 提供了 400 多个开箱即用和可定制的合规性检查,以改善容器化环境中的态势。

  • 随时间推移维护合规性的审计历史记录

    根据容器态势的连续和最新视图,以及之前扫描的完整历史记录,通过 Prisma Cloud 了解您的总体合规率。

  • 基于预构建和自定义策略控制构建和部署

    使用来自领先框架的模板,包括 PCI DSS、HIPAA、GDPR、DISA STIG 和 NIST SP 800-190,并根据您的企业需要对其进行自定义。

  • 实施 CIS 基准测试和专有检查

    利用 CIS 基准测试中的预配置检查,以及 Prisma Cloud 对 Docker®、Kubernetes、Linux、Windows® 和 Istio™ 的研究。

  • 设置许可证合规性级别

    自动提醒和阻止不符合企业要求或需要其他详细信息(如归属)的许可证。

  • 管理镜像信任

    利用受信任的组和受信任的镜像,只允许安全镜像到达生产环境。

  • 在构建和运行时添加合规性检查

    在开发生命周期的每一步为错误配置提供警报和护栏,以减少修补程序摩擦并防止生产中的错误配置。

测试

CI/CD 安全

保护容器安全的最有效策略是在开发生命周期的每一步发现并纠正问题。CI/CD 工作流提供了在现有开发过程中嵌入自动安全检查的机会,从而减少了开发人员和安全团队的负担。

  • 扫描存储库和注册表中的漏洞和错误配置

    跨存储库(如 GitHub)和注册表(如 Docker、Quay、Artifactory 等)检查源代码和镜像是否存在漏洞及合规性问题。

  • 将部署锁定到经过审查的镜像

    利用受信任的组和受信任的镜像,只允许安全镜像到达生产环境。

  • 将安全方案集成到 CI 工具中

    Prisma Cloud 包括对 CI 工具(如 Jenkins、GitHub Actions、CircleCI、AWS CodeBuild、Azure DevOps、Google Cloud Build 等)的问题发出警报和阻止镜像的集成功能。

  • 扫描每一阶段的漏洞

    从 CLI 和存储库扫描中提供有关程序包漏洞和开源许可证的反馈。

CI/CD 检查

运行时防御

容器在各种环境中运行时会自动扩展。Prisma Cloud 使用预测性和基于威胁的保护来保护临时容器,而不会增加开销。我们的代理保护在普通和托管 Kubernetes 以及 CaaS 环境中独立运行的容器。

  • 使用单个代理和控制台简化安全性

    跨所有非托管和托管产品以及所有符合 CRI 的运行时,利用对云和本地环境中容器的支持。

  • 自动检测异常行为

    根据进程、网络和文件系统行为自动分析正在运行的容器,并检测和阻止已知的错误和异常行为。

  • 获得跨环境的网络可视性

    实时查看跨云环境的所有容器网络通信。

  • 使用自动捕获的取证详细信息快速响应事件

    查看事件发生之前和之后的事件历史,以进行威胁搜寻和生命周期分析。

运行时防御

访问控制

容器运行时和 Kubernetes 默认会创建过度许可的访问。Prisma Cloud 锁定用户和控制平面对 Docker 和 Kubernetes 的访问,减小攻击面。

  • 控制 Docker 命令访问

    添加细粒度控制,控制哪些用户应该有权在按环境的基础上运行 Docker 命令。

  • 将机密安全地注入容器

    Prisma Cloud 与机密管理工具(如 CyberArk 和 HashiCorp)集成,以保护机密并根据需要将其安全地提供给容器。

  • 使用托管 Open Policy Agent 简化策略实施

    将策略的创建简化为代码,并执行 OPA 的决策。

  • 自动化和聚合详细日志记录

    自动生成、收集漏洞、合规性违规和运行时事件的审核事件,并聚合到一个可进行搜索的仪表板中。

访问控制
Prisma Cloud
Prisma Cloud
Prisma® Cloud 是业界最完善的云原生应用保护平台 (CNAPP),在整个开发生命周期以及混合和多云环境中为基础架构、工作负载和应用提供业界最广泛的安全性和合规性覆盖范围,涵盖整个云原生技术堆栈。

云工作负载防护模块

主机安全

在任何公有云或私有云中保障虚拟机 (VM) 的安全。

容器安全

在任何公有云或私有云中保障 Kubernetes 和其他容器的安全。

无服务器安全

在完整的应用程序生命周期中保障无服务器功能的安全。

Web 应用及 API 安全

在任何公有云或私有云中抵御第 7 层和 OWASP 十大威胁。

特色资源

详细了解 Prisma Cloud 可为您的业务提供的帮助