天融信云原生容器安全方案，全面满足等保新要求

4月19日，中关村信息安全测评联盟发布《网络安全等级保护容器安全要求》团体标准，7月1日，该标准已正式实施。天融信结合多年云安全积累经验对该标准进行详细解读。

鉴于等保2.0云等保仅适用于虚拟机环境，无法应对容器技术引入的新安全风险，因此需要对容器应用场景提出补充安全要求，以指导网络建设单位和测评人员，在网络安全等级保护为基础上，对基于容器技术的网络进行建设和评估。为了配合《中华人民共和国网络安全法》的实施，同时适应新技术、新应用情况下网络安全等级保护工作的开展，中关村信息安全测评联盟制定了《网络安全等级保护容器安全要求》团体标准。

该标准规定了第一级至第四级的安全要求，第四级分为3大类、8项控制点和33项安全要求，包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、容器镜像保护等能力要求。天融信根据第四级安全要求进行解读并进行责任划分，其中一部分安全要求需要云厂商具备相应的安全能力，而另一部分则需要安全厂商具备相应能力。以下是天融信对安全厂商部分安全要求的解读以及相应的解决方案。

天融信云原生容器安全防护系统解决方案

面向云原生应用场景，天融信推出了云原生容器安全防护系统解决方案，可满足《网络安全等级保护容器安全要求》中对容器环境安全能力的要求。同时，该方案可助力政企客户建立全生命周期的容器安全防护，防范容器技术引入的镜像投毒、容器逃逸、横向渗透等安全风险。天融信云原生容器安全防护系统解决方案以容器环境安全、容器镜像安全、容器网络安全和工作负载安全四个维度为切入点，从事前、事中、事后三个阶段建立安全防线，确保容器环境中业务系统的安全可靠运行。

事前安全防范

天融信云原生容器安全防护系统解决方案通过容器镜像扫描功能，深度扫描容器镜像中的系统漏洞、应用软件漏洞、病毒木马以及敏感信息等，帮助客户发现不安全镜像，并通过容器启动保护功能禁止不安全镜像启用，从源头上解决容器镜像安全问题。同时，该方案可通过系统中的安全基线检查功能对容器环境进行安全配置检查，及时发现不规范的容器环境配置，并给出相应修复方案，帮助客户解决配置不规范引发的非必要的端口和服务暴露等安全隐患。

事中持续威胁检查

天融信云原生容器安全防护系统提供多种安全机制保障工作负载的安全——容器逃逸防护功能可检测和分析工作负载运行过程中的异常挂载宿主机目录、违规进程调用和违规系统操作等问题；入侵检测功能可保障工作负载对外提供的服务应用的安全性。天融信云原生安全防护系统解决方案通过多重安全机制的联合防护，帮助客户有效解决工作负载运行时面临的容器逃逸等问题。

事后及时调查响应

天融信云原生容器安全防护系统解决方案可通过安全审计和可视化图表对安全事件作进一步的分析，快速定位攻击源，同时可联动微隔离功能实现以单个容器为独立体的全方位控制，减少隔离容器之间不必要的网络连接，从而避免非必要端口的暴露。

容器技术作为一种轻量级的应用虚拟化技术，已经越来越广泛地应用于云环境中，随着云计算相关技术与应用的不断成熟，越来越多的企业客户将在数字化转型中选择容器以及相关的云原生应用。天融信始终以捍卫国家网络空间安全为己任，积极布局云原生安全领域，立足客户安全需求不断创新产品与服务，为企业数字化转型保驾护航。