产品动态

产品简介

产品概述

产品优势

应用场景

功能介绍与版本对比

购买指南

试用申请

购买专业版

购买镜像扫描

购买日志分析

快速入门

操作指南

安全概览

资产管理

漏洞管理

镜像风险管理

集群风险管理

基线管理

运行时安全

高级防御

策略管理

防护开关

告警设置

日志分析

混合云安装指引

失陷容器隔离说明

日志字段数据解析

实践教程

镜像漏洞扫描和漏洞管理

故障处理

Linux 客户端离线排查

集群接入排查

API 文档

History

Introduction

API Category

Making API Requests

Network Security APIs

Cluster Security APIs

Security Compliance APIs

Runtime security - High-risk syscalls

Runtime Security - Reverse Shell APIs

Runtime Security APIs

Alert Settings APIs

Advanced prevention - K8s API abnormal requests

Asset Management APIs

Security Operations - Log Analysis APIs

Runtime Security - Trojan Call APIs

Runtime Security - Container Escape APIs

Image Security APIs

Billing APIs

Data Types

Error Codes

常见问题

TCSS 政策

隐私政策

数据处理和安全协议

联系我们

词汇表

应用场景

PDF

聚焦模式

字号

最后更新时间： 2024-01-23 15:35:06

容器镜像防护
镜像存在应用漏洞、木马病毒及敏感信息泄露等多种安全问题， 容器安全服务支持 BUILD（构建）、SHIP（分发）、RUN（运行）全生命周期的镜像深度检查，可发现镜像存在的安全风险，并对镜像进行运行控制。容器安全服务允许用户自定义规则，实现对镜像的防护。
﻿
容器逃逸攻击检测
容器隔离性较弱，攻击者可利用敏感挂载和漏洞实现逃逸到宿主机的行为。逃逸问题直接影响承载容器底层基础设施的保密性、完整性和可用性。容器安全支持检测各类容器逃逸行为，例如：
Privileged 特权模式运行容器引起的逃逸。
危险挂载导致的容器逃逸（挂载 Docker Socket、挂载宿主机 procfs）。
容器内进程从普通账号切换到 root 账号导致的提权。
容器内进程 capability 提权。
容器内进程突破 mount file namespace 隔离。
容器内进程突破 seccomp syscall 黑名单调用限制。
容器内进程修改未挂载进容器的宿主机文件（如 CVE-2019-5736）。
﻿
﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

容器安全服务

应用场景

容器镜像防护

容器逃逸攻击检测

帮助和支持