尚付容器安全管理系统能力覆盖容器生命周期中的三个关键阶段，即：容器构建时的镜像安全、容器部署时基线检查以及运行时的入侵检测和防御。为容器安全提供全天候监测与保护，构建基于云原生的容器安全防护。

从构建镜像到部署到运行，尚付容器安全管理系统通过对镜像的安全扫描，发现、追踪 与镜像相关的风险威胁、第三方组件许可证信息、镜像分层信息等，帮助客户解决 Docker 镜像文件风险发现难、补丁信息缺少的问题，给用户提供一个安全、纯净的镜像文件。此外尚付容器安全管理系统支持对公共或私有仓库内的容器镜像进行漏洞扫描，并支持 webhook 消息通知机制，对有更新的容器镜像重新进行自动扫描。 针对于类似于 Jenkins 的 CI 工具，平台提供相应插件进行配置，可在 CI 过程中扫描所采用的镜像，让开发人员在每次运行构建时都能看到漏洞状态，而无需运行单独的工具或使用不同的界面。安全团队可以通过设置相应阻断策范风险略来防。

尚付容器安全管理系统支持展示 kubernetes 集群中的网络访问。在企业云原生生态建设过程中，尚付容器安全管理系统通过利用宿主机系统内核引流机制，对容器资产之间或容器跟外部网络之间交互进行统计展示，帮助用户⾃动化构建集群容器资产相关信息，提供集群环境中各类资产的识别，包括 pod、image、namespace 等信息，并提供资产可视化能力， 帮助用户梳理容器资产间的互访关系，发现非法访问。

Kubernetes 对容器 Pod 进行编排，组织出多种不同类型的资产，尚付容器安全管理系统通过 Kubernetes 环境中各类资产识别，包括但不限于：container、image、node、service、controller 等基础资产信息，展示所有容器相关资产的统计数据和风险状态，自动对各类资产信息进行同步，并实时监控资产信息的变化。

尚付容器安全管理系统采用 daemonset方式部署运行，支持kubernetes编排部署，降低管理人员工作强度。可适应kubernetes的冗余机制，适应各种CNI环境，对业务无影响。

尚付容器安全管理系统提供四层网络访问控制，它可自动学习应用程序的网络拓扑。在四层网络访问控制上，可以自动学习所有微服务之间的所有流量，并允许安全团队集中查看和阻断所有网络访问，同时自动阻止异常访问流量，无需手动创建和管理规则。

攻击行为可能以各种各样的方式发生，保持 Kubernetes 各类服务和资源持续可见是十分重要的。尚付容器安全管理系统可以帮助安全团队实时了解集群中各类资源的状态。

尚付容器安全管理系统通过与 kubernetes 深度结合，对各类云环境的完美适配，完成对容器业务环境中的集群资源、网络访问、进程文件、操作权限等进行持续监控，及时发现容器资产的异常行为并进行阻断，对容器资产访问关系进行可视化，掌握业务环境中容器资产间的网络互访关系，帮助用户构建符合 kubernetes 容器业务环境的安全管理机制，实现容器业务环境中各类风险的管理与控制。