腾讯云容器安全服务TCSS_容器镜像安全防护系统

申请试用

腾讯云容器安全服务TCSS

腾讯云容器安全服务TCSS，无需部署，一键开启容器安全防护支持混合云，百万Agent装机实践，低占用。已集成腾讯云BnaryAI、TAV、泰石、犀、Wedetect等核心引擎、六大容器逃逸检测引擎，高检出率。

立即咨询

首页 > 产品中心 > 云服务 > 腾讯云容器安全服务TCSS

新品容器安全介绍

一键启用
无需部署，一键开启容器安全防护支持混合云，百万Agent装机实践，低占用

七大核心引擎集成
已集成腾讯云BnaryAI、TAV、泰石、犀、Wedetect等核心引擎、六大容器逃逸检测引擎，高检出率

专家级攻防加持
云鼎实验室容器安全专家团队支持黑产镜像、在野容器攻击情报同步预警业内最大规模容器集群安全治理经验

容器安全服务能力架构 icon

核心产品功能：资产管理 icon

资产安全态势一目了然，消除资产盲点

TCSS容器安全服务提供自动化资产清点功能，可快速清点出运行环境中的容器、镜像、镜像仓库、主机等关键资产信息，帮助企业实现资产可视化

核心产品功能：镜像安全-风险扫描 icon

本地镜像/仓库镜像扫描，深入发现镜像供应链潜在安全风险，减少攻击面

核心产品功能：集群安全 icon

识别集群等新技术栈引入的配置、漏洞等风险，确保容器运行环境安全、配置合规。集成腾讯安全容器攻防最佳实践和专家经验，支持对runC、Kubelet、API Server、Docker、Pods等集群基础设施组件开展安全风险检查。全面检查发现集群环境漏洞和不安全配置，帮助规避因集群环境弱点所导致的容器入侵事件。

核心产品功能：运行时安全 icon

运行时防护提供功能强大的入侵检测能力，基于自适应Agent实时监控容器运行时环境，提供容器逃逸、文件查杀、恶意外连、异常进程拦截、文件篡改防护、K8s API异常请求检测等全面保护，并进行安全告警

容器客户案例

客户需求

某金融客户互联网创新服务业务部署在腾讯云上，共计2w余节点。客户在容器安全运营过程中主要遇到了以下问题：云上资产种类多样数量众多，安全运维团队无法及时快速实现资产盘点。传统安全产品在容器环境适用性较差，针对云上新出现的威胁形式，缺乏有效的技术手段进行检测。镜像来源杂乱、引入较多安全隐患。

解决方案

腾讯云为客户提供了容器安全服务的解决方未，帮助客户构建了完善的镜像安全准入、容器运行时安全规范。通过资产管理功能实现云上自动化资产清点。通过镜像安全扫描功能发现存在安全隐患的镜像，及时修复。通过运行时安全监测等功能实时监测容器运行态安全，自动上报被攻击容器和中木马病毒的容器。通过安全基线功能检查配置不合规的容器、镜像、k8s等资产，减少资产攻击点。

客户收益

实现资产可视化，扫除容器资产盲点。实现构建、部署、运行全生命周期的安全防护，保障容器业务稳定运行。保护企业核心资产安全，满足监管合规需求，提升安全运营管理效率。

容器入侵案例：某车企挖矿事件实战防护 icon

客户背景：某汽车品牌，布局人工智能，大数据平台，物联网IoT，客户官网等核心业务系统已经上云，有上万台主机资产。

发生时间：2021年9月14～16日

遭受的恶意挖矿类型：容器节点失陷，被入侵挖矿攻击

影响范围：某容器集群的若干节点。

容器入侵案例：某车企挖矿事件实战防护 icon

第一天，恶意扫描：黑客通过恶意扫描工具，发现S公司的一个Docker Remote API并没有配置鉴权，可以做任意调用，并且该集群是面向公网开放的；漏洞利用：通过Remote API 启动恶意容器镜像Alpineos/docker api远程控制：恶意镜像生成容器快速下载挖矿脚本，开始回连矿池库，利用容器集群算力开始挖矿；第二天，横向移动：通过恶意“特权模式+SSH”的容器逃逸方法，逃逸到宿主机上，并且将挖矿病毒扩散到了容器节点上，并通过横向扫描控制更多容器节点。若干天后，发现问题：通过售后工单与腾讯安全专家取得联系，我们为用户开启了容器安全产品服务，并协助配置对应安全策略，先拦截回连域名，随后查杀挖矿木马

容器入侵案例：某车企挖矿事件实战防护 icon