容器安全

容器映像掃描

容器映像掃瞄由趨勢科技Artifact Scanner (TMAS) 執行，使您能夠在開發流程中掃瞄容器映像，並持續掃瞄註冊表中的映像，以便開發人員能夠在容器映像生命週期的早期階段檢測並修復安全問題。透過容器映像掃瞄，DevOps 團隊可以持續交付達到生產標準的應用程式，滿足您業務的需求，而不影響構建週期。

容器映像檔掃描檢查弱點、惡意程式和機密。

容器映像掃描會檢測使用套件管理器安裝的應用程式以及直接安裝的應用程式中的威脅，這些威脅來自各種公開可用的弱點資料來源。

容器映像掃描可檢測所有類型的惡意程式，包括木馬、勒索軟體和間諜程式。容器映像掃描還可檢測您已安裝應用程式中的秘密，有助於識別可能無意中暴露的敏感和機密資料，如密碼和 API 金鑰。

容器映像掃瞄的結果也會發送到 Trend Vision One - 容器安全，通過將掃瞄結果與您定義的政策進行比對來確定是否可以部署該映像。

要啟用容器映像掃描，您需要在本地環境中安裝 趨勢科技™ Artifact Scanner (TMAS)。

基於政策的部署控制

容器安全透過與 Kubernetes 的原生整合，提供基於政策的部署控制，以確保您在生產環境中運行的 Kubernetes 部署是安全的。

容器安全性使您能夠根據一組規則創建允許或封鎖部署的策略。這些規則基於 Kubernetes 對象的屬性和 TMAS 掃描的結果（如果您已將 TMAS 集成到您的環境中）。

當映像準備好與 Kubernetes 一起部署時，會觸發准入控制 webhook，該 webhook 會檢查映像是否安全可部署，並允許或阻止其運行。

持續合規

部署後，容器安全性可以繼續監控容器。容器安全性會定期檢查分配給叢集的政策，確保運行中的容器繼續符合您定義的政策。如果在初始部署後政策有變更，將強制執行更新的政策。運行中的容器也會在發現新弱點時進行檢查。

執行時安全

執行期安全性提供對正在運行的容器中任何違反可自定義規則集的活動的可見性。目前，執行期安全性包括一組預定義規則，這些規則提供對容器的 MITRE ATT&CK® 框架戰術以及容器漂移檢測的可見性。容器安全性可以根據您定義的策略，通過執行期可見性和控制功能來緩解檢測到的問題。如果在執行期間有任何 pod 違反規則，則根據策略中的執行期規則集通過終止或隔離該 pod 來緩解問題。

執行時弱點掃瞄

執行期掃描提供作業系統和開放原始碼程式碼弱點的可見性，這些弱點是容器叢集中執行的容器的一部分，且您已安裝容器安全性。它提供按嚴重性排序的弱點列表，您可以選擇以獲取其他資訊。您可以按名稱搜尋弱點，並按嚴重性等級或 CVE 分數進行篩選。

弱點詳細資訊包括：

執行時惡意程式掃描

執行時惡意程式掃瞄提供對您運行中的容器中的惡意程式的檢測，使您能夠識別和應對部署後引入的惡意程式威脅。您可以配置計劃以定期掃瞄惡意程式。容器安全會記錄惡意程式事件，您可以從事件標籤查看。