qualys/runtime-sensor Docker Image Overview

qualys/runtime-sensor

qualys

Qualys runtime-sensor是一款运行时安全监控工具，用于实时监控容器和主机的运行时行为，检测威胁、异常活动及安全漏洞，提供持续安全防护。

1 次收藏下载次数: 0状态：社区镜像维护者：qualys仓库类型：镜像最近更新：1 个月前

轩辕镜像，不浪费每一次拉取。点击查看

中文简介版本下载

轩辕镜像，不浪费每一次拉取。点击查看

Qualys runtime-sensor 镜像文档

镜像概述

Qualys runtime-sensor是Qualys提供的运行时安全传感器，旨在实时监控容器、主机及云环境的运行时行为，通过检测威胁、异常活动和安全漏洞，为容器化应用和基础设施提供持续安全防护。该镜像可无缝集成到容器环境、Kubernetes集群及云服务器中，帮助用户及时发现并响应安全风险。

核心功能与特性

实时运行时监控

监控容器生命周期（启动、停止、资源使用）、主机进程活动及网络连接
跟踪文件系统变更（文件创建、删除、权限修改）和系统调用行为
支持Docker、containerd等主流容器运行时环境

威胁检测与响应

基于 signatures 和机器学习模型识别行为（如进程、入侵尝试、勒索软件活动）
检测异常行为（如非基线进程启动、异常网络连接、权限提升尝试）
实时告警与事件上报，支持与SIEM平台集成

漏洞与合规检查

扫描运行时环境中的已知漏洞（CVE）及配置合规性问题
支持对容器镜像、主机系统及应用依赖的漏洞检测
生成合规性报告，满足PCI-DSS、HIPAA等合规要求

安全漏洞扫描

定期扫描运行时环境中的软件包漏洞（CVE）
关联Qualys漏洞数据库，提供漏洞详情及修复建议
支持自定义扫描策略（扫描频率、漏洞严重级别阈值）

集成与管理

与Qualys Cloud Platform无缝集成，统一管理安全事件和资产
提供REST API接口，支持自动化部署和配置
轻量级设计，低资源占用（CPU < 5%，内存 < 256MB）

使用场景

容器化应用环境

Docker/containerd单机容器环境的运行时安全监控
Kubernetes集群中Pod及节点的运行时行为审计

云与混合IT环境

公有云（AWS、Azure、GCP）及私有云服务器的运行时防护
混合IT架构下的跨环境统一安全监控

DevSecOps流程

集成到CI/CD流水线，在应用部署后自动启用运行时监控
为开发和运维团队提供实时安全反馈，缩短漏洞修复周期

使用方法与配置说明

前提条件

拥有Qualys账户及有效的API凭证（API Key/Secret）
目标环境已安装Docker 19.03+或兼容的容器运行时
网络可访问Qualys服务器（默认端口443）
容器运行用户需具备适当权限（如访问Docker套接字、挂载主机目录）

快速部署（Docker Run）

bash
docker run -d \
  --name qualys-runtime-sensor \
  --restart always \
  --privileged \
  -e QUALYS_SERVER=qualysapi.qualys.com \
  -e QUALYS_API_KEY=<your-qualys-api-key> \
  -e QUALYS_API_SECRET=<your-qualys-api-secret> \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -v /:/hostroot:ro \
  -v /var/log:/var/log:ro \
  qualys/runtime-sensor:latest

环境变量配置

环境变量	描述	是否必填	默认值
`QUALYS_SERVER`	Qualys后端服务器地址（如`qualysapi.qualys.com`或私有部署地址）	是	-
`QUALYS_API_KEY`	Qualys账户API访问密钥	是	-
`QUALYS_API_SECRET`	Qualys账户API密钥	是	-
`LOG_LEVEL`	日志级别（DEBUG/INFO/WARN/ERROR）	否	INFO
`SCAN_INTERVAL`	安全扫描间隔（秒）	否	300
`HOST_MONITORING`	是否启用主机监控（`true`/`false`）	否	true
`CONTAINER_MONITORING`	是否启用容器监控（`true`/`false`）	否	true
`NETWORK_MONITORING`	是否启用网络流量监控（`true`/`false`）	否	true

挂载卷说明

挂载路径	用途	权限	必要性
`/var/run/docker.sock`	访问Docker守护进程，监控容器活动	读写	容器环境必需
`/hostroot`	只读挂载主机根目录，用于主机文件系统和进程监控	只读	主机监控必需
`/var/log`	读取系统日志用于行为分析	只读	可选
`/etc/qualys`	挂载自定义配置文件（如传感器策略）	读写	可选

部署验证

检查容器状态：

bash
docker ps | grep qualys-runtime-sensor

查看启动日志（确认连接状态）：

bash
docker logs qualys-runtime-sensor | grep "Connected to Qualys server"

若输出包含"Successfully connected to Qualys server"，表示部署成功。

注意事项

权限要求：传感器需--privileged权限或添加特定capabilities（如CAP_SYS_PTRACE、CAP_NET_RAW）以监控系统资源
安全最佳实践：API凭证需通过环境变量或密钥管理工具注入，避免硬编码
性能影响：默认扫描间隔（300秒）对生产环境影响较小，高负载场景可适当调大间隔
升级建议：定期更新镜像至最新版本以获取漏洞库和检测规则更新

使用场景示例

Kubernetes环境部署

通过DaemonSet在Kubernetes集群中部署（确保每个节点运行一个传感器实例）：

yaml
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: qualys-runtime-sensor
  namespace: qualys
spec:
  selector:
    matchLabels:
      app: qualys-sensor
  template:
    metadata:
      labels:
        app: qualys-sensor
    spec:
      hostPID: true
      containers:
      - name: qualys-sensor
        image: qualys/runtime-sensor:latest
        env:
        - name: QUALYS_SERVER
          value: "qualysapi.qualys.com"
        - name: QUALYS_API_KEY
          valueFrom:
            secretKeyRef:
              name: qualys-creds
              key: api-key
        - name: QUALYS_API_SECRET
          valueFrom:
            secretKeyRef:
              name: qualys-creds
              key: api-secret
        volumeMounts:
        - name: docker-sock
          mountPath: /var/run/docker.sock
        - name: hostroot
          mountPath: /hostroot
          readOnly: true
        - name: var-log
          mountPath: /var/log
          readOnly: true
      volumes:
      - name: docker-sock
        hostPath:
          path: /var/run/docker.sock
      - name: hostroot
        hostPath:
          path: /
      - name: var-log
        hostPath:
          path: /var/log

查看更多 runtime-sensor 相关镜像 →