评估安全风险

Alauda 容器安全评估并排名您的部署安全风险，突出需要关注的漏洞、配置和运行时活动。

风险视图

风险视图列出了所有部署，按多因素风险指标（策略违规、镜像内容、配置等）排序。顶部的部署风险最高。

每个部署显示：

名称
创建时间
集群
命名空间
优先级

功能：

排序和过滤违规
从过滤结果创建新策略

要查看更多详细信息，请选择一个部署。

从风险视图创建策略

您可以根据风险视图中的过滤器创建安全策略。

操作步骤：

在门户中转到风险。
应用过滤器。
点击新策略并填写必填字段。

注意： 只有集群、命名空间、部署和标签过滤器会转换为策略范围。其他过滤器可能会被丢弃或修改。

过滤器映射表

搜索属性	策略标准
添加能力	添加能力
注释	不允许的注释
CPU 核心限制	容器 CPU 限制
CPU 核心请求	容器 CPU 请求
CVE	CVE
CVE 发布日期	✕ 被丢弃
CVE 暂停	✕ 被丢弃
CVSS	CVSS
集群	⟳ 转换为范围
组件	镜像组件（名称）
组件版本	镜像组件（版本）
部署	⟳ 转换为范围
部署类型	✕ 被丢弃
Dockerfile 指令关键字	Dockerfile 行（关键字）
Dockerfile 指令值	Dockerfile 行（值）
删除能力	✕ 被丢弃
环境变量键	环境变量（键）
环境变量值	环境变量（值）
环境变量来源	环境变量（来源）
暴露节点端口	✕ 被丢弃
暴露服务	✕ 被丢弃
暴露服务端口	✕ 被丢弃
暴露级别	端口暴露
外部主机名	✕ 被丢弃
外部 IP	✕ 被丢弃
镜像	✕ 被丢弃
镜像命令	✕ 被丢弃
镜像创建时间	自镜像创建以来的天数
镜像入口点	✕ 被丢弃
镜像标签	不允许的镜像标签
镜像操作系统	镜像操作系统
镜像拉取密钥	✕ 被丢弃
镜像注册表	镜像注册表
镜像远程	镜像远程
镜像扫描时间	自镜像上次扫描以来的天数
镜像标签	镜像标签
镜像最高 CVSS	✕ 被丢弃
镜像用户	✕ 被丢弃
镜像卷	✕ 被丢弃
标签	⟳ 转换为范围
最大暴露级别	✕ 被丢弃
内存限制（MB）	容器内存限制
内存请求（MB）	容器内存请求
命名空间	⟳ 转换为范围
命名空间 ID	✕ 被丢弃
Pod 标签	✕ 被丢弃
端口	端口
端口协议	协议
优先级	✕ 被丢弃
特权	特权
进程祖先	进程祖先
进程参数	进程参数
进程名称	进程名称
进程路径	✕ 被丢弃
进程标签	✕ 被丢弃
进程 UID	进程 UID
只读根文件系统	只读根文件系统
秘密	✕ 被丢弃
秘密路径	✕ 被丢弃
服务账户	✕ 被丢弃
服务账户权限级别	最小 RBAC 权限级别
容忍键	✕ 被丢弃
容忍值	✕ 被丢弃
卷目标	卷目标
卷名称	卷名称
卷只读	可写卷
卷来源	卷来源
卷类型	卷类型

范围转换示例： 通过 Cluster:A,B 和 Namespace:Z 过滤创建：

(Cluster=A AND Namespace=Z)
(Cluster=B AND Namespace=Z)

风险详细面板

选择一个部署会打开风险详细信息面板，包含多个选项卡。

风险指标选项卡

显示：

策略违规
可疑进程执行
镜像漏洞
服务配置
服务可达性
对攻击者有用的组件
镜像中的组件数量
镜像新鲜度
RBAC 配置

仅显示所选部署的相关部分。

部署详细信息选项卡

提供：

部署 ID
命名空间
更新时间（时间戳）
部署类型
副本
标签
集群名称
注释
服务账户

容器配置：

镜像名称
资源：CPU/内存请求和限制
挂载：名称、来源、目标、类型
秘密：Kubernetes 秘密和 X.509 证书详细信息

安全上下文：

特权：如果是特权则为 true

进程发现选项卡

列出每个容器中执行的所有二进制文件，按部署汇总：

二进制名称
容器
参数
时间（最近）
Pod ID
UID

在过滤器栏中使用 Process Name:<name> 进行搜索。

事件时间线

事件时间线显示所选部署的事件：

进程活动
策略违规
容器重启/终止

事件以图标形式出现在时间线上。悬停以获取详细信息。您可以：

显示事件类型的图例
导出为 PDF/CSV
过滤事件类型
展开以查看每个容器的事件

一个小地图控制可见范围。

注意：

在容器重启时，每个容器最多显示 10 个非活动实例；之前实例的进程活动不会被跟踪。
每个 Pod 仅显示每个（进程名称、参数、UID）的最新执行。
仅显示活动 Pod 的事件。
时间戳经过调整以确保准确性。

#评估安全风险

#目录

#风险视图

#从风险视图创建策略

#过滤器映射表

#风险详细面板

#风险指标选项卡

#部署详细信息选项卡

#进程发现选项卡

#事件时间线