10、容器化环境的基于规则的安全监控

容器化环境的基于规则的安全监控

1. 安全场景检测

在容器化环境中，需要检测多种安全场景，以确保环境的安全性。以下是一些需要检测的场景：
- 意外网络连接 ：检测容器是否与互联网建立了不期望的连接，例如下载恶意代码或打开远程 shell。可以通过创建授权目标的白名单或限制特定 TCP 端口来实现。
- 内核模块加载 ：尽管默认配置下无法从容器加载主机内核模块，但仍需考虑这种情况，因为它可能导致权限提升。
- 拒绝服务（DoS） ：即使 cgroups 可以防止主机和其他容器的资源饥饿，但仍需调查填充共享文件系统的可能性。
- 缓冲区溢出 ：检测是否可以使用基于规则的方法检测缓冲区溢出，这是一种常见的安全漏洞。

2. 容器运行时级别的安全监控

为了监控容器运行时的安全，选择了三个优先监控领域：
- Docker REST API 访问监控 ：检测将 API 通过网络暴露的错误配置。
- 容器生命周期事件监控 ：监控容器的生命周期事件，如拉取、运行、暂停等命令。
- 容器安全设置修改监控 ：监控容器安全设置的修改，如使用额外的主机资源、削弱 DoS 保护等。

以下是这些监控领域的具体信息：
|监控领域|具体监控内容|
| ---- | ---- |
|Docker REST API 访问监控| - 暴