通过调用docker api直接与宿主机docker demon交互，获取镜像的构建历史记录，软件包列表，提供容器环 境中各类资产的识别，包括容器、镜像、镜像仓库、主机、POD等基础资产信息，并支持对容器的进程、端口、数 据库和web容器的采集。

通过对镜像发起扫描，发现镜像存在的系统漏洞、病毒木马、webshell、敏感文件泄露等镜像风险问题， 确保镜像在分发上线前安全可信。覆盖构建Build、分发Ship和运行Run的全生命周期镜像安全检查。

采用自定义镜像阻断规则，对存在病毒木马、webshell、特定系统漏洞或非信任镜像等规则下 的镜像阻断其运行。

采用即时扫描和实时监控两种模式对容器运行时进行入侵行为检测。在“即时扫描”方面，可支 持病毒木马检测与webshell查杀；在“实时监控”方面，可支持命令、进程、文件等方面的异常检测 ，可支持基于用户不安全配置、Docker runC、“脏牛漏洞”、进程提权等方面的容器逃逸攻击； 此外，云甲还支持通过自学习建立容器的可信进程白名单。

基于微隔离技术和K8S的网络策略对容器以及容器应用进行“微服务”级的安全隔离与恶意流量检测。 在网络隔离方面，云甲重视“容器网络拓扑”的可视化，“生成网络策略”的自动化，可帮助用户在配置网络策略时获得更直观、便捷的体验。该功能还可以检测和阻止XSS攻击，SQL注入等威胁。

结合安全狗云眼主机安全轻量化Agen t，对宿主机进行安全检测、监测和防护。包括宿主机漏洞风险的扫 描发现，宿主机入侵威胁实时监测，并对宿主机的资源、性能进行监控，提供对宿主机的合规基线检查。

构建基于CIS的Docker、Kuberne tes安全操作实践检查基线。可实现⼀键自动化检测，提供可视化 基线检查结果和代码级的修复建议。同时，结合企业个性化应用场景，还可为用户提供基线定制开发服 务，以快速匹配各行业、各企业安全配置需求。

产品破除了容器的封闭性，通过对容器相关资产：镜像、容器、主机镜像深度安全检测，使得容器资产风险一目了然，更加便于管理。

产品破除了容器的封闭性，获取相关的镜像资产和容器资产并及时发现资产变更：镜像、镜像来源、软件包、容器、进程、配置信息、环境变量、挂载情况、端 口等，使得容器资产风险一目了然，更加便于管理。

基于10万的CVE安全漏洞库、超过5万的webshell库、百万级的病毒木马库对镜像进行镜像漏洞、病毒木马检测。对镜像历史行为分析、发现对镜像的危险操作。对敏感信息等进行深度分析，发现存在泄密风险。支持体检多种策略设置，定时设置。

对运行的容器进行实时安全监测，及时发现运行容器中的各类型安全攻击事件和安全威胁，包括网页后门、反 弹shell、异常命令、文件异常行为、病毒木马、逃逸风险。

采用微隔离技术和K8S自带的容器网络组件对容器和容器应用进行安全隔离和网络层的安全防护。

产品内置了docker主机安全配置最佳安全实践检测，几乎覆盖docker安全配置各个方面，同时持续增加国家 （等级保护），行业（金融、保险、 电信等）的安全规范要求。目前产品支持docker CIS,kubernetes CIS。

场景1：中小型企业扁平式架构

场景2：大型企业