容器安全性

透過 Prisma Cloud 在任何公有雲或私有雲上保護從建置到執行的 Kubernetes® 和其他容器平台。

容器、Kubernetes 與容器即服務 (CaaS) 已成為大規模封裝及協調服務的主流方法。在此同時,容器使用者必須確保他們已基於特定目的建立安全性,以針對其容器化應用程式解決弱點管理、合規性、執行階段保護和網路安全需求。

閱讀 Gartner 關於雲端工作負載防護平台的報告。

容器安全性橫跨了整個應用程式生命週期

Prisma® Cloud 會掃描容器映像並強制執行政策以作為持續整合和持續交付工作流程的一部分、持續監控儲存庫和登錄中的程式碼,還能同時保護受管理和未受管理執行階段環境 (結合了風險優先順序與大規模執行階段保護)。
  • 對於公有雲和私有雲的支援
  • 適用於受管理和未受管理環境的單一代理程式
  • 儲存庫、映像和容器的完整生命週期安全性
  • 弱點管理
    弱點管理
  • 容器合規性
    容器合規性
  • CI/CD 安全性
    CI/CD 安全性
  • 執行階段防禦
    執行階段防禦
  • 存取控制
    存取控制

PRISMA CLOUD 解決方案

我們的容器安全性方法

弱點管理

一開始就能對於建置、部署和執行階段的容器,提供所有相依性的完整可視性。Prisma Cloud 可針對在主機或容器即服務、公有雲和私有雲中執行的 CI/CD 管道和容器,持續進行弱點的彙總及排定優先順序。

  • 透過指南排定補救的優先順序

    透過前 10 名的弱點清單,建立所有已知 CVE 中的風險優先順序、補救指南和各層映像分析。

  • 新增防護措施,包含不同嚴重性層級的警示和封鎖

    針對建置階段和執行階段的個別服務及服務群組,控制其警示和封鎖嚴重性層級。

  • 充分利用絕佳的準確性

    透過超過 30 種上游數據來源,將誤判率降到最低。Prisma Cloud 著重於僅將精確的弱點資訊提供給開發人員和安全團隊。

  • 反映出整個生命週期的弱點資訊

    整合弱點管理以掃描儲存庫、登錄、CI/CD 管道和執行階段環境。


容器合規性

相較於以伺服器為基礎的單體,容器環境的維護人員會面對獨特的設定挑戰。Prisma Cloud 提供超過 400 個立即可用且可自訂的合規性檢查,可改善容器化環境中的狀況。

  • 維護隨時間變化的合規性稽核記錄

    根據對於容器狀況的連續性及最新狀態檢視以及上次掃描的詳盡記錄,查看 Prisma Cloud 的總體合規率。

  • 根據預先建立及自訂的政策來控制建置和部署

    使用 PCI DSS、HIPAA、GDPR、DISA STIG 和 NIST SP 800-190 等業界領先的架構所提供的範本,再根據您的企業需求進行自訂。

  • 實作 CIS 基準和專屬的檢查

    充分利用 CIS 基準的預先設定檢查,以及 Prisma Cloud 對於 Docker®、Kubernetes、Linux、Windows® 和 Istio™ 的研究。

  • 設定授權合規性層級

    針對不符合企業需求或需要額外詳細資料 (例如歸屬) 的授權,自動發出警示並加以封鎖。

  • 管理映像信任

    利用受信任的群組和受信任的映像,僅允許安全映像進入生產環境。

  • 新增建立及執行階段的合規性檢查

    在開發生命週期的每個步驟提供對於錯誤設定的警示和防護措施,以減少修補摩擦並避免生產環境中的錯誤設定。


CI/CD 安全性

最有效的容器保護策略就是在開發生命週期的每個步驟中找出並補救各種問題。CI/CD 工作流程讓您有機會將自動化安全檢查嵌入至現有的開發程序,以減少開發人員和安全團隊的負擔。

  • 掃描儲存庫和登錄以找出弱點和錯誤設定

    檢查原始程式碼和映像,以找出 GitHub 等儲存庫以及 Docker、Quay、Artifactory 等登錄中的弱點和合規性問題。

  • 將部署鎖定至已檢查的映像

    利用受信任的群組和受信任的映像,僅允許安全映像進入生產環境。

  • 將安全性整合至 CI 工具

    Prisma Cloud 所包含的整合功能可依照 CI 工具 (例如 Jenkins、GitHub Actions、CircleCI、AWS CodeBuild、Azure DevOps、Google Cloud Build 等等) 提出的問題,針對有問題的映像發出警示並加以封鎖。

  • 提供每個階段的軟體組成分析 (SCA)

    提供 CLI 和儲存庫掃描對於套件弱點和開放原始碼授權的回饋。


執行階段防禦

當容器在各種不同環境中執行時會自動進行調整。Prisma Cloud 可使用預測和基於威脅的防護,確保臨時性容器安全無虞,且不會增加額外開支。我們的代理程式可保護在一般和受管理 Kubernetes 以及 CaaS 環境中獨立執行的容器。

  • 透過單一代理程式和主控台簡化安全性

    在所有未受管理和受管理產品以及所有 CRI 合規執行階段中,充分利用對於雲端和內部部署環境容器的支援。

  • 自動偵測異常行為

    自動根據程序、網路和檔案系統行為分析執行中的容器,並偵測及封鎖已知的惡意行為和異常行為。

  • 取得對於各種環境的網路可視性

    即時檢視雲端環境中的所有容器網路通訊。

  • 透過自動擷取的鑑識詳細資料快速回應事件

    檢視導致事件發生和事件發生後活動的相關記錄,以進行威脅捕捉和生命週期分析。


存取控制

容器執行階段和 Kubernetes 預設值會產生過度授權的存取權限。因此 Prisma Cloud 會將使用者和控制層存取鎖定至 Docker 和 Kubernetes 以縮小攻擊範圍。

  • 控制 Docker 命令的存取

    新增精細控制,以決定授予哪些使用者存取權限以於個別環境中執行 Docker 命令。

  • 將密碼安全地注入容器中

    Prisma Cloud 能夠與 CyberArk 和 HashiCorp 之類的密碼管理工具整合,藉此保護密碼並視需要將其安全地提供給各個容器。

  • 透過受管理的 Open Policy Agent 簡化政策執行

    簡化政策即程式碼的建立並執行 OPA 的決策。

  • 自動化並彙總詳細的日誌記錄

    弱點、合規性違規以及執行階段事件的稽核事件會在單一、可搜尋的儀表板中自動產生、收集及彙總。


Prisma Cloud
Prisma Cloud
Prisma Cloud 可在整個開發生命週期以及多雲端環境和混合雲環境中,針對應用程式、數據和整個雲端原生技術堆疊,提供業界最廣泛的安全性和合規性涵蓋範圍。

雲端工作負載防護模組

主機安全性

保護任何公有雲或私有雲上的虛擬機器 (VM)。

容器安全性

在任何公有雲或私有雲上保護 Kubernetes 和其他容器平台。

無伺服器安全性

在整個應用程式生命週期中保護無伺服器功能。

網路應用程式與 API 安全性

防禦任何公有雲或私有雲中的第 7 層和 OWASP 前 10 大威脅。