解读|七月1日《网络安全等级保护容器安全要求》正式实施
发布日期:2023-07-12 作者: 来源: 分享:
解读|七月1日《网络安全等级保护容器安全要求》正式实施
标准适用于在云环境中采用容器集群技术的等级保护对象的安全建设、安全整改和安全测试评估。用于指导网络建设单位、测评人员从网络安全等级保护的角度对基于容器技术的网络进行建设和测试评估。2023年4月19日,中关村信息安全测评联盟发布《关于发布<网络安全等级保护容器安全要求>团体标准的通知》,该标准已正式发布并自2023年7月1日起实施。为落实本标准宣贯工作,加深使用者对本标准的理解,提高检测评估认证机构检测技术水平,规范检测技术细节,现对本标准予以解读。
随着云计算技术的发展,容器技术作为一种轻量级的应用虚拟化技术,越来越广泛地应用于云环境中。容器技术具有快速部署、高效利用资源、易于迁移和扩展等优点,为用户提供了灵活、高效、可靠的云服务。同时,容器技术带来了新的安全挑战,如容器镜像安全、容器实例隔离、容器集群管理、容器运行时保护等方面,都需要制定相应的安全标准和规范,以保障容器技术在云环境中的安全使用。
为了配合《中华人民共和国网络安全法》的实施,同时适应新技术、新应用情况下网络安全等级保护工作的开展,中关村信息安全测评联盟团体标准委员会制定了《网络安全等级保护容器安全要求》(以下简称本文件)。本标准将GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》的通用安全保护要求进行细化和扩展,提出容器安全保护技术要求。
本标准是网络安全等级保护相关系列标准之一,适用于在云环境中采用容器集群技术的等级保护对象的安全建设、安全整改和安全测试评估。用于指导网络建设单位、测评人员从网络安全等级保护的角度对基于容器技术的网络进行建设和测试评估。
本标准的发布和实施,对于推动容器技术在云环境中的安全应用,提高网络安全等级保护工作的质量和水平,促进网络安全产业发展,具有重要意义。本标准将有助于:•为在云环境中采用容器集群技术的等级保护对象提供了统一的安全标准和规范,规范了容器集群的安全建设、整改和测试评估工作;•为网络安全监管部门提供了依据和参考,便于对采用容器集群技术的等级保护对象进行有效的监督检查和指导;•为网络安全服务机构提供了技术支撑和方法论,提高了服务质量和能力;•为网络安全产品厂商提供了技术需求和市场方向,促进了产品创新和升级。本标准是国内首个针对容器安全的等级保护标准,具有以下特点:•统一认知,在第 5 章节给出了容器集群概述,对保护对象的一般性抽象技术架构及各部分功能说明。•全面覆盖容器集群的各个组成部分,包括管理平台、计算节点、操作系统、容器镜像、容器运行时、集群网络、容器实例、容器镜像仓库等,为容器集群的安全建设提供了详细的指导。•易用性,根据之前编写等级保护标准时的经验,根据不同的部署场景和等级测评对象,给出了不同的适用要求,在附录中分别给出了 :1.云计算不同场景下如何选择搭配安全通用要求与扩展要求(统一扩展要求选择)3.要求项与等级测评对象关系(统一标准作用对象,方便建设与测评)本标准规定了第一级至第四级的安全要求,其中第四级的安全要求会包含前面所有级别的安全要求,需要实现更强的身份鉴别、访问控制、审计、入侵防范、恶意代码防范、容器镜像保护等能力,接下来我们将对第四级的安全要求进行解读,并给出每条要求的含义、使用场景、评测方法、注意事项等信息。
a) 应对管理平台的访问请求进行身份标识和鉴别,并确保使用安全协议连接。•含义:本要求是为了保证管理平台的访问者是合法授权的用户,并且使用加密传输的方式进行通信,防止身份伪造和数据泄露。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对管理平台进行身份鉴别和安全连接。–检查管理平台是否配置了身份鉴别机制,如用户名密码、数字证书、双因素认证等;–检查管理平台是否使用安全协议连接,如HTTPS、SSH等;–模拟非法用户或使用非安全协议访问管理平台,观察是否能够成功访问或获取敏感信息。–身份鉴别机制应根据网络等级和业务需求选择合适的方式,如第三级以上网络应使用数字证书或双因素认证等更高强度的方式;–安全协议连接应使用符合国家标准或行业规范的加密算法和密钥长度,如不得使用已被破解或弃用的算法和密钥;–管理平台的访问日志应保存并定期审查,发现异常访问或攻击行为时应及时响应和处置。b) 应对容器镜像仓库的访问请求进行身份标识和鉴别,并确保使用安全协议连接。•含义:本要求是为了保证容器镜像仓库的访问者是合法授权的用户,并且使用加密传输的方式进行通信,防止容器镜像被非法获取或篡改。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像仓库进行身份鉴别和安全连接。
–检查容器镜像仓库是否配置了身份鉴别机制,如用户名密码、数字证书、双因素认证等;–检查容器镜像仓库是否使用安全协议连接,如HTTPS、SSH等;–模拟非法用户或使用非安全协议访问容器镜像仓库,观察是否能够成功访问或获取容器镜像。–身份鉴别机制应根据网络等级和业务需求选择合适的方式,如第三级以上网络应使用数字证书或双因素认证等更高强度的方式;–安全协议连接应使用符合国家标准或行业规范的加密算法和密钥长度,如不得使用已被破解或弃用的算法和密钥;–容器镜像仓库的访问日志应保存并定期审查,发现异常访问或攻击行为时应及时响应和处置。c) 应对容器实例的访问请求进行身份标识和鉴别,并确保使用安全协议连接。•含义:本要求是为了保证容器实例的访问者是合法授权的用户,并且使用加密传输的方式进行通信,防止容器实例被非法访问或控制。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例进行身份鉴别和安全连接。–检查容器实例是否配置了身份鉴别机制,如用 RBAC 认证等;–检查容器实例是否使用安全协议连接,如HTTPS、SSH等;–模拟非法用户或使用非安全协议访问容器实例,观察是否能够成功访问或控制容器实例。–安全协议连接应使用符合国家标准或行业规范的加密算法和密钥长度,如不得使用已被破解或弃用的算法和密钥;–容器实例的访问日志应保存并定期审查,发现异常访问或攻击行为时应及时响应和处置。
a) 应对管理平台实现基于角色或更细粒度的访问控制,支持设定不同用户对管理平台内各类资源和容器镜像资源的细粒度权限控制。•含义:本要求是为了保证管理平台的访问者只能访问其被授权的资源和操作,防止越权访问或操作。基于角色的访问控制是指根据用户的角色或职责分配相应的权限,如管理员、开发者、运维人员等;更细粒度的访问控制是指根据用户的具体属性或条件分配相应的权限,如用户组、项目组、时间段等。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对管理平台进行访问控制。–检查管理平台是否支持基于角色或更细粒度的访问控制,如是否有角色管理、权限管理、用户管理等能力;–检查管理平台是否支持设定不同用户对各类资源的细粒度权限控制,如是否可以对不同资源设置不同的访问或操作权限;–模拟不同角色或属性的用户访问管理平台,观察是否能够按照预设的权限进行访问或操作。–应遵循最小权限原则,避免给予过多或不必要的权限;–应定期审查和更新角色或用户组及其权限设置,避免权限滥用或失效;–应根据业务需求和安全风险,合理划分不同类型和等级的资源和信息,并设定相应的访问控制策略。b) 应实现对容器镜像仓库设定细粒度的访问控制,支持项目级别权限控制。•含义:本要求是为了保证容器镜像仓库的访问者只能访问其被授权的容器镜像,防止越权访问或操作。项目级别权限控制是指根据容器镜像所属的项目或分类分配相应的权限,如公共项目、私有项目、敏感项目等。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像仓库进行访问控制。–检查容器镜像仓库是否支持设定细粒度的访问控制,如是否可以对不同项目或分类设置不同的访问或操作权限;–检查容器镜像仓库是否支持项目级别权限控制,如是否可以按照项目或分类进行容器镜像管理;–模拟不同角色或属性的用户访问容器镜像仓库,观察是否能够按照预设的权限进行访问或操作。
–应遵循最小权限原则,避免给予过多或不必要的权限;–应定期审查和更新项目、仓库、镜像及其权限设置,避免权限滥用或失效;–应根据业务需求和安全风险,合理划分不同类型和等级的容器镜像信息,并设定相应的访问控制策略。c) 应实现多用户场景下容器实例之间、容器与宿主机之间、容器与其他主机之间的网络访问控制。•含义:本要求是为了保证容器实例之间、容器与宿主机之间、容器与其他主机之间的网络通信只能进行其被授权的访问或操作,防止非法访问或攻击。网络访问控制是指根据容器实例的网络属性或条件分配相应的权限,如命名空间、Pod、IP地址、端口号、协议类型等。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例进行网络访问控制。–检查容器集群是否支持设定多用户场景下的网络访问控制,如是否可以对不同用户或项目组的容器实例设置不同的网络访问策略;–检查容器集群是否支持对容器实例之间、容器与宿主机之间、容器与其他主机之间的网络访问控制,如是否可以按照IP地址、端口号、协议类型等条件添加网络策略;–模拟不同用户或项目组的容器实例之间、容器与宿主机之间、容器与其他主机之间进行网络通信,观察是否能够按照预设的权限进行访问或操作。–网络访问控制策略应根据网络等级和业务需求制定,遵循最小权限原则,避免过度授权或欠缺授权;–网络访问控制策略应定期审查和更新,及时撤销或变更不再需要的权限;–网络访问控制策略应与身份鉴别机制相配合,确保用户身份正确无误。d) 应确保集群用户和应用程序对资源的访问控制权限随容器实例迁移。•含义:本要求是为了保证容器实例在迁移过程中不会丢失或改变其原有的访问控制权限,防止越权访问或操作。集群用户是指在容器集群中注册或登录的用户,如管理员、开发者、运维人员等;应用程序是指在容器实例中运行的业务应用程序;资源是指容器集群中的各类资源,如计算节点、容器实例、网络规则等;容器实例迁移是指将容器实例从一个计算节点迁移到另一个计算节点的过程,通常是为了实现负载均衡、故障恢复、弹性伸缩等目的。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例迁移时的访问控制权限进行保持。–检查是否使用专业工具确保集群用户和应用程序对资源的访问控制权限随容器实例迁移,如是否有权限管理功能模块;–检查是否能够在容器实例迁移前后查看和比较其访问控制权限,如是否有权限展示和比较功能;–模拟不同用户或项目组的容器实例进行迁移,观察是否能够保持其原有的访问控制权限。–容器实例迁移时的访问控制权限保持应根据网络等级和业务需求选择合适的工具和方式,遵循最佳实践和安全配置;–容器实例迁移时的访问控制权限保持应定期检查和更新,及时修复或变更不再需要的权限;–容器实例迁移时的访问控制权限保持应与身份鉴别机制相配合,确保用户身份正确无误。e) 应使用安全容器运行时技术实现内核级别的强隔离。•含义:本要求是为了保证容器实例之间、容器与宿主机之间的安全隔离,防止容器逃逸或其他攻击。安全容器运行时技术是指提供独立的操作系统内核或沙箱的容器运行时技术,如Kata Containers、gVisor、wasm 运行时等;内核级别的强隔离是指通过虚拟化技术为每个容器实例提供一个独立的内核空间或沙箱,使其与其他容器实例或宿主机完全隔离,防止互相影响或攻击。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例进行内核级别的强隔离。
–检查是否使用安全容器运行时技术实现内核级别的强隔离,如是否有安全容器运行时软件和配置;–检查是否为每个容器实例提供了一个独立的内核空间或沙箱,如是否可以查看容器实例的独立内核或沙箱信息;–模拟攻击者从一个容器实例向其他容器实例或宿主机发起攻击,观察是否能够成功攻击或控制。–应选择符合国家有关规定和标准的安全容器运行时技术,并保持其最新版本;–应根据业务需求和安全风险,合理选择不同类型和等级的容器运行时技术,并设定相应的配置参数;–应监测和优化安全容器运行时技术对资源利用率和性能影响;–应定期检查和修复安全容器运行时技术可能存在的网络安全漏洞或其他问题。a) 应审计容器镜像使用情况,包括镜像上传、镜像下载事件,记录访问源 IP;•含义:本要求是为了保证容器镜像的使用情况能够被记录和追溯,防止容器镜像被非法上传或下载。审计容器镜像使用情况是指记录容器镜像的上传和下载事件,包括事件时间、事件类型、事件对象、访问源 IP 等信息。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像的使用情况进行审计。–检查容器镜像仓库是否支持审计容器镜像使用情况,如是否有审计日志功能模块;–检查容器镜像仓库是否记录了容器镜像的上传和下载事件,如是否有事件时间、事件类型、事件对象、访问源 IP 等信息;–模拟不同用户或项目组的容器镜像上传和下载事件,观察是否能够在审计日志中查看到相应的记录。
–容器镜像使用情况的审计日志应保存并定期审查,发现异常事件时应及时响应和处置;–容器镜像使用情况的审计日志应按照法律法规要求进行留存或备份,防止丢失或篡改。b) 应审计管理平台事件,包括各资源创建、更新、销毁等事件,支持开关内置风险策略。•含义:本要求是为了保证管理平台的操作情况能够被记录和追溯,防止管理平台被非法操作或攻击。审计管理平台事件是指记录管理平台内各类资源(如计算节点、容器实例、网络规则等)的创建、更新、销毁等操作事件,包括事件时间、事件类型、事件主体、事件对象等信息。开关内置风险策略是指根据不同的网络等级和业务需求,开启或关闭一些预设的风险策略,如禁止特权用户运行容器实例、禁止未签名的容器镜像部署等。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对管理平台的操作情况进行审计。–检查管理平台是否支持审计管理平台事件,如是否有审计日志功能模块;–检查管理平台是否记录了各类资源的创建、更新、销毁等操作事件,如是否有事件时间、事件类型、事件主体、事件对象等信息;–检查管理平台是否支持开关内置风险策略,如是否可以开启或关闭一些预设的风险策略;–模拟不同用户或项目组对各类资源进行创建、更新、销毁等操作事件,观察是否能够在审计日志中查看到相应的记录。–管理平台事件的审计日志应保存并定期审查,发现异常事件时应及时响应和处置;–管理平台事件的审计日志应按照法律法规要求进行留存或备份,防止丢失或篡改;–开关内置风险策略应根据网络等级和业务需求选择合适的方式,遵循最小风险原则,避免过度放松或过度限制。c) 应审计容器实例事件,包括进程、文件、网络等事件。•含义:本要求是为了保证容器实例的操作情况能够被记录和追溯,防止容器实例被非法操作或攻击。容器实例事件是指在容器实例中发生的影响其运行状态或资源消耗的操作或行为,如进程启动、文件修改、网络连接等;审计容器实例事件是指记录容器实例事件的相关信息,如事件时间、事件类型、安全状态等。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例的操作情况进行审计。
–检查是否使用专业工具审计容器实例事件,如是否有审计日志功能模块;–检查是否记录了容器实例的进程、文件、网络等事件,如是否有事件时间、事件类型、安全状态等信息;–模拟不同用户或项目组对容器实例进行操作或攻击,观察是否能够在审计日志中查看到相应的记录。–容器实例事件的审计日志应保存并定期审查,发现异常事件时应及时响应和处置;–容器实例事件的审计日志应按照法律法规要求进行留存或备份,防止丢失或篡改;d) 应实现审计数据留存或备份,审计数据保存时间应符合法律法规要求。•含义:本要求是为了保证审计数据的安全性和可用性,防止审计数据被丢失或篡改。审计数据是指记录管理平台、容器镜像仓库、容器实例等各类资源的使用和操作情况的数据;审计数据留存或备份是指将审计数据保存在安全可靠的存储介质中,并按照一定的周期进行更新或复制的过程;审计数据保存时间是指根据法律法规要求或业务需求确定的审计数据需要保存的最短时间。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对审计数据进行留存或备份。–检查是否使用专业工具实现审计数据留存或备份,如是否有存储介质和备份策略;–检查是否按照法律法规要求或业务需求确定了审计数据保存时间,如是否有保存时间设置;–模拟攻击者删除或修改审计数据,观察是否能够从存储介质中恢复或还原。–审计数据留存或备份应根据网络等级和业务需求选择合适的工具和方式,遵循最佳实践和安全配置;–审计数据留存或备份应定期检查和更新,及时发现和处理异常情况;–审计数据留存或备份应与身份鉴别机制相配合,确保只有授权用户才能访问或操作审计数据。
a) 应确保容器镜像只使用安全的基础容器镜像,仅包含必要的软件包或组件,对不安全镜像进行告警,并实现拦截;•含义:本要求是为了保证容器镜像的安全性,防止容器镜像中存在软件漏洞或恶意代码。安全的基础容器镜像是指经过官方或可信任机构发布和维护的容器镜像,如Alpine、Ubuntu等;必要的软件包或组件是指容器镜像中只包含运行应用程序所需的最小化软件包或组件,避免引入不必要的风险;不安全镜像是指使用了不安全的基础镜像、安装了未使用的软件包等情况。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像进行入侵防范。–检查容器镜像是否只使用安全的基础容器镜像,如是否有基础容器镜像清单和来源验证;–检查容器镜像是否仅包含必要的软件包或组件,如是否有软件包或组件清单和用途说明;–检查基础容器镜像是否存在不安全情况,如是否使用专业工具扫描基础容器镜像的漏洞情况;–检查是否对不安全镜像进行告警,并实现拦截,如是否有告警日志和拦截记录。–应选择符合国家标准或可信任机构发布和维护的容器镜像,并保持其最新版本;–应根据业务需求和安全风险,合理选择不同类型和版本的软件包或组件,并设定相应的配置参数;–应定期检查和修复容器镜像可能存在的安全风险,并及时更新容器镜像。b) 应确保容器镜像修复超危、高危、中危及低危网络安全漏洞。•含义:本要求是为了保证容器镜像中不存在可被利用的网络安全漏洞,防止容器实例被攻击者入侵和控制。网络安全漏洞是指容器镜像中存在的可以被攻击者利用来获取非法访问或操作权限的缺陷或弱点;超危、高危、中危及低危是指根据GB/T 30279-2020《信息安全技术 网络安全漏洞分类分级指南》对网络安全漏洞进行分类分级的结果,分别表示网络安全漏洞的危害程度由高到低依次递减。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像进行网络安全漏洞修复。
–检查容器镜像是否修复了超危、高危、中危及低危网络安全漏洞,如是否使用专业工具扫描容器镜像漏洞,并对漏洞进行分类分级;–检查容器镜像是否及时更新或替换,如是否有更新或替换日志和记录;–模拟攻击者利用已知的超危、高危、中危及低危网络安全漏洞攻击容器镜像,观察是否能够成功入侵或控制容器镜像。–应使用符合国家有关规定和标准的网络安全漏洞扫描工具,并保持其最新版本;–应根据业务需求和安全风险,合理设定不同类型的网络安全漏洞扫描策略,并设定相应的扫描频率和范围;–应及时关注和获取网络安全漏洞的相关信息,并根据其影响程度和紧急程度,制定相应的修复计划和方案;–应在修复网络安全漏洞前进行备份和测试,在修复后进行验证和评估。c) 应确保容器镜像内不包含敏感信息、SSH等证书文件,环境变量中不包含用户名密码。•含义:本要求是为了保证容器镜像中不泄露任何可能被攻击者利用的敏感信息,防止容器实例被攻击者入侵和控制。敏感信息是指容器镜像中可能存在的与业务相关的数据或配置信息,如数据库连接字符串、API 密钥等;SSH 等证书文件是指容器镜像中可能存在的用于远程登录或加密通信的密钥文件,如 id_rsa、id_dsa 等;环境变量是指容器镜像中可能存在的用于设置或传递用户名或密码的变量,如 USER、PASSWORD 等。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像进行敏感信息清理。–检查容器镜像是否包含敏感信息、SSH 等证书文件,如是否使用专业工具扫描容器镜像文件,并检查是否存在敏感信息、SSH 等证书文件;–检查容器镜像中的环境变量是否包含用户名密码,如是否使用专业工具扫描容器镜像配置文件,并检查是否存在用户名密码等敏感信息。–应避免在容器镜像内硬编码敏感信息、SSH 等证书文件,应使用外部存储或配置管理工具来管理这些信息;–应定期检查和更新敏感信息、SSH 等配置,并及时删除过期或无效的信息;–应使用加密技术来保护敏感信息、SSH 等证书文件,环境变量中的用户名密码等。d) 应在容器镜像创建或部署过程中扫描容器镜像漏洞,对不安全的镜像进行告警并阻断创建或部署流程。•含义:本要求是为了保证在容器集群中创建或部署新的容器实例时,使用的容器镜像是安全可信的,防止因为使用不安全的容器镜像而导致容器实例被攻击者入侵和控制。扫描容器镜像漏洞是指在创建或部署新的容器实例之前,对所使用的容器镜像进行漏洞检测和分析,发现并修复其中存在的网络安全漏洞;告警并阻断创建或部署流程是指在发现使用的容器镜像存在超危、高危、中危或低危网络安全漏洞时,及时向相关人员发送告警信息,并停止创建或部署新的容器实例。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要在创建或部署新的容器实例时进行容器镜像漏洞扫描。
–检查是否在创建或部署新的容器实例之前,对所使用的容器镜像进行漏洞扫描,如是否使用专业工具扫描容器镜像漏洞,并对漏洞进行分类分级;–检查是否对存在超危、高危、中危或低危网络安全漏洞的容器镜像进行告警,并阻断创建或部署,是否有告警日志和拦截记录。–容器镜像的漏洞扫描应根据网络等级和业务需求选择合适的频率和时机,如第三级以上网络应在每次创建或部署新的容器实例之前进行漏洞扫描;–确保只使用安全可信的容器镜像创建或部署新的容器实例;–应使用符合国家有关规定和标准的网络安全漏洞扫描工具,并保持其最新版本;–应根据业务需求和安全风险,合理设定不同类型的网络安全漏洞扫描策略,并设定相应的扫描频率和范围;–应及时关注和获取网络安全漏洞的相关信息,并根据其影响程度和紧急程度,制定相应的修复计划和方案;–应在修复网络安全漏洞前进行备份和测试,在修复后进行验证和评估。e) 应统计和删除容器镜像仓库中长期未被下载使用且存在安全风险的镜像。•含义:本要求是为了保证容器镜像仓库中只存储安全可信且有用的容器镜像,防止因为使用过期或不安全的容器镜像而导致容器实例被攻击者入侵和控制。统计和删除容器镜像仓库中长期未被下载使用且存在安全风险的镜像是指定期对容器镜像仓库中的所有容器镜像进行统计和分析,找出那些长时间没有被下载使用且存在超危、高危、中危或低危网络安全漏洞的容器镜像,并将其从容器镜像仓库中删除。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要定期清理容器镜像仓库中无用且不安全的容器镜像。–检查是否定期对容器镜像仓库中的所有容器镜像进行统计和分析,如是否使用专业工具统计容器镜像的下载次数和时间,并扫描容器镜像漏洞;–检查是否删除了长期未被下载使用且存在超危、高危、中危或低危网络安全漏洞的容器镜像,并记录删除日志。–应及时关注和获取网络安全漏洞的相关信息,并根据其影响程度和紧急程度,制定相应的清理或删除计划和方案;–应在清理或删除容器镜像前进行备份和测试,在清理或删除后进行验证和评估。f) 除基础平台组件外,应禁止业务容器实例使用特权用户和特权模式运行,并对特权用户运行容器行为进行告警并拦截。•含义:本要求是为了保证业务容器实例的隔离性和安全性,防止业务容器实例被攻击者利用特权用户或特权模式进行容器逃逸或其他恶意行为。特权用户是指在容器实例中具有最高权限的用户,如 root 用户;特权模式是指在创建或运行容器实例时,给予容器实例额外的权限,如访问宿主机的设备、网络或文件系统等。基础平台组件是指在容器集群中提供基础服务或功能的容器实例,如 API Server、CoreDNS、Controller、Scheduler、ETCD 等。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对业务容器实例进行特权用户和特权模式限制。
–检查业务容器实例是否使用特权用户和特权模式运行,如是否使用专业工具扫描业务容器实例的配置文件,并检查是否存在特权用户或特权模式设置;–检查是否对使用特权用户和特权模式运行的业务容器实例进行告警并拦截,如是否有告警日志和拦截记录。–除基础平台组件外,业务容器实例应尽量避免或最小化使用特权用户和特权模式运行,以防止容器逃逸或其他攻击手段;–当业务容器实例必须要使用特权用户和特权模式运行时应进行严格审查和监控。g) 应监测对管理平台和容器实例的攻击行为并拦截。•含义:本要求是为了保证管理平台和容器实例的安全性,防止管理平台和容器实例被攻击者入侵和控制。攻击行为是指对管理平台和容器实例进行的非法访问或操作,如利用漏洞执行命令、反弹 shell 等。监测并拦截是指通过安全工具,发现并阻止攻击行为,以保护管理平台和容器实例的完整性、可用性和机密性。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对管理平台和容器实例进行攻击行为监测和拦截。–检查是否对管理平台和容器实例进行攻击行为监测,如使用专业工具监测管理平台和容器实例并分析是否存在异常或恶意行为;–检查是否对发现的攻击行为进行拦截,如是否使用专业工具拦截非法访问或操作,并记录拦截日志和原因。–管理平台和容器实例的攻击行为监测和拦截应根据网络等级和业务需求选择合适的频率和时机,如第三级以上网络应支持进行攻击行为监测和拦截;–管理平台和容器实例的攻击行为监测和拦截应与身份鉴别机制相配合,确保只有授权用户才能访问或操作管理平台和容器实例;–应使用符合国家标准或行业规范的容器入侵检测和防御系统;•含义:本要求是为了保证容器集群内的网络安全,防止容器集群内出现恶意流量或攻击流量。异常流量是指在容器集群内部或与外部通信时出现的不符合正常业务逻辑或规则的网络流量,如端口扫描、数据泄露、分布式拒绝服务等。监测并拦截是指通过安全工具,发现并阻止异常流量,以保护容器集群内的网络资源。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器集群内的异常流量进行监测和拦截。
–检查是否对容器集群内的网络流量进行监测,如是否使用专业工具监测容器集群内部或与外部通信的网络流量,并分析是否存在异常或恶意流;–检查是否支持对异常流量拦截的机制,验证是否能够及时发现和阻止异常流量。–应使用符合国家标准或行业规范的容器网络监控系统;i) 应对失陷容器进行响应处置,例如关闭或隔离容器。•含义:本要求是为了保证容器集群内的安全性,防止失陷容器对其他容器或宿主机造成影响或损害。失陷容器是指已被攻击者入侵和控制的容器,可能被用于执行恶意命令、传播恶意代码、窃取敏感信息等。响应处置是指在发现失陷容器后,及时采取有效的措施,如关闭或隔离失陷容器,以阻止其继续进行恶意行为,并进行进一步的分析和恢复。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对失陷容器进行响应处置。–检查是否对失陷容器进行响应处置,如是否使用专业工具发现并关闭或隔离失陷容器,并记录响应处置日志和原因;–检查是否对失陷容器进行进一步的分析和恢复,如是否使用专业工具分析失陷容器的入侵方式、影响范围、恶意行为等,并采取相应的恢复措施,如删除恶意代码、修复漏洞、更换密钥等。–应根据失陷容器的影响范围和严重程度,采取相应的处置措施,如在容器内阻断恶意进程、隔离、备份、恢复等;–应及时分析失陷原因,采取预防措施,避免同类事件再次发生。
a) 应识别容器镜像内的病毒、木马等恶意代码,对危险容器镜像告警并阻止该镜像加入容器仓库。•含义:本要求是为了保证容器镜像中不存在病毒、木马等恶意代码,防止容器实例被感染或控制。恶意代码是指容器镜像中存在的可以对容器实例或其他主机造成损害或威胁的程序或指令;危险容器镜像是指容器镜像中存在恶意代码的情况。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像进行恶意代码防范。–检查是否使用专业工具识别容器镜像内的病毒、木马等恶意代码,如是否有恶意代码扫描功能模块;–检查是否对危险容器镜像进行告警,并实现拦截,如是否有告警日志和拦截记录;–模拟攻击者向容器镜像中植入病毒、木马等恶意代码,观察是否能够被识别和拦截。–容器镜像的恶意代码防范应定期检查和更新,及时修复或替换存在风险的容器镜像;–容器镜像的恶意代码防范应与网络等级相匹配,如第三级以上网络应阻止所有危险容器镜像加入容器仓库;b) 应监测容器实例运行过程中的恶意代码上传、下载、横向传播行为并拦截。•含义:本要求是为了保证容器实例在运行过程中不被感染或控制。恶意代码上传、下载、横向传播行为是指攻击者利用网络安全漏洞或其他手段向容器实例中注入或从容器实例中提取恶意代码,或者使恶意代码在多个容器实例之间传播的行为。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例进行恶意代码防范。–检查是否使用专业工具监测容器实例运行过程中的恶意代码上传、下载、横向传播行为,如是否有 webshell 监控功能模块;–检查是否对发现的恶意代码上传、下载、横向传播行为进行拦截,如是否有拦截日志和记录;–模拟攻击者向容器实例中上传、下载或横向传播恶意代码,观察是否能够被监测和拦截。–应对失陷容器进行响应处置,如关闭、隔离、备份、恢复等。a) 应具备容器镜像签名功能,对容器镜像完整性进行校验。•含义:本要求是为了保证容器镜像的完整性,防止容器镜像被篡改或替换。容器镜像签名功能是指使用数字签名技术对容器镜像进行身份认证和数据完整性验证的功能;容器镜像完整性校验是指使用数字签名技术对容器镜像的签名进行验证,确保容器镜像没有被修改或替换的过程。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像进行签名和校验。
–检查是否具备容器镜像签名功能,如是否使用符合国家标准或行业规范的数字签名算法和密钥长度;–检查是否对容器镜像进行完整性校验,如是否在上传、下载或部署容器镜像时进行签名验证;–模拟攻击者篡改或替换容器镜像,观察是否能够被发现和拦截。–容器镜像的签名和校验应定期检查和更新,及时修复或替换存在风险的容器镜像;b) 应在镜像构建配置文件中将运行用户定义为非最高权限用户,禁止未定义用户或定义为最高权限用户。•含义:本要求是为了保证容器实例的安全性,防止容器实例被攻击者利用特权用户进行攻击或控制。运行用户是指在容器实例中执行应用程序的用户;最高权限用户是指在容器实例中具有最高权限的用户,如root用户;未定义用户是指在容器实例中没有明确指定运行用户的情况;镜像构建配置文件是指用于定义容器镜像构建过程中的参数和命令的文件,如Dockerfile文件。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对运行用户进行定义和限制。–检查是否在镜像构建配置文件中将运行用户定义为非最高权限用户,如是否使用USER命令指定运行用户;–检查是否禁止未定义用户或定义为最高权限用户,如是否使用专业工具扫描或检查运行用户设置;–模拟攻击者利用特权用户攻击或控制容器实例,观察是否能够成功攻击或控制。–运行用户的定义和限制应根据网络等级和业务需求选择合适的方式,遵循最小权限原则,避免过度授权或欠缺授权;–运行用户的定义和限制应定期检查和更新,及时修复或替换存在风险的容器镜像;–运行用户的定义和限制应与身份鉴别机制相配合,确保只有授权用户才能访问或操作容器实例。c) 应采用密码技术或其他技术手段防止容器镜像中可能存在的敏感资源被非法访问。•含义:本要求是为了保证容器镜像中的敏感资源不被泄露或滥用,防止因为敏感资源泄露或滥用而导致容器实例被攻击者入侵和控制。敏感资源是指容器镜像中可能存在的与业务相关的数据或配置信息,如数据库连接字符串、API 密钥等。密码技术或其他技术手段是指使用国密技术对容器镜像中的敏感资源进行保护,以防止非法访问。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像中的敏感资源进行保护。–检查是否采用国密技术对镜像仓库存储的容器镜像进行保护;–检查是否对非法访问容器镜像中的敏感资源进行告警并拦截,如是否有告警日志和拦截记录。–容器镜像中的敏感资源保护应根据网络等级和业务需求选择合适的密码技术或其他技术手段,如第三级以上网络应使用加密技术;–应定期更换密码或更新密钥,避免将敏感资源暴露在容器镜像中。
a) 应实现以容器集群的方式对容器实例等资源进行统一编排调度管理,并具备容器实例的故障自动恢复、弹性伸缩等可用性要求。•含义:本要求是为了保证容器集群的高效管理和高可用性,防止容器实例出现故障或资源不足的情况。容器集群的方式是指采用编排软件来统一管理容器形成的集群,如Kubernetes、Docker Swarm等;容器实例的故障自动恢复是指当容器实例出现异常或崩溃时,能够自动重启或重新调度到其他计算节点上继续运行的能力;弹性伸缩是指根据用户的业务需求和预设策略,自动调整计算资源,使计算节点数量随业务负载需求自动变化的能力。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云还是私有云部署的容器集群,都需要对容器实例等资源进行统一编排调度管理,并具备故障自动恢复、弹性伸缩等可用性要求。–检查是否使用专业工具实现以容器集群的方式对容器实例等资源进行统一编排调度管理,如是否有编排软件和管理界面;–检查是否具备容器实例的故障自动恢复能力,如是否有健康检查和重启策略;–检查是否具备容器实例的弹性伸缩能力,如是否有水平扩展和垂直扩展策略;–模拟容器实例出现故障或业务负载变化的情况,观察是否能够自动恢复或调整计算资源。–应根据业务特点和网络规模,选择合适的集群编排工具,遵循最佳实践和安全配置;–容器实例的故障自动恢复能力应根据网络等级和业务需求选择合适的健康检查和重启策略,避免过度重启或无法重启;–容器实例的弹性伸缩能力应根据网络等级和业务需求选择合适的水平扩展和垂直扩展策略,避免过度扩展或无法扩展。b) 应通过容器镜像仓库对容器镜像进行集中管理,以实现多个容器镜像仓库数据同步,并具备推送和拉取等多种同步方式。•含义:本要求是为了保证容器镜像的统一管理和数据一致性,防止容器镜像出现版本不一致或数据丢失的情况。容器镜像仓库是用于容器镜像分类、标记、存储、下载和版本控制的服务组件;多个容器镜像仓库数据同步是指在不同的物理位置或网络环境中部署的容器镜像仓库之间进行容器镜像数据的同步,保证数据的一致性;推送和拉取等多种同步方式是指支持主动或被动地触发容器镜像数据的同步,如通过命令行或界面操作进行推送或拉取操作。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要通过容器镜像仓库对容器镜像进行集中管理,并实现多个容器镜像仓库数据同步。–检查是否使用专业工具通过容器镜像仓库对容器镜像进行集中管理,如是否有容器镜像仓库软件和管理界面;–检查是否实现多个容器镜像仓库数据同步,如是否有同步配置和日志;–检查是否具备推送和拉取等多种同步方式,如是否支持命令行或界面操作进行推送或拉取操作;–模拟在不同的物理位置或网络环境中部署的容器镜像仓库之间进行容器镜像数据的同步,观察是否能够成功同步。–容器镜像仓库的集中管理和数据同步应定期检查和更新,及时修复或替换存在风险的容器镜像;–应根据业务特点和网络规模,选择合适的容器镜像仓库,遵循最佳实践和安全配置;•含义:本要求是为了保证管理平台与业务平面的安全隔离,防止管理平台被业务平面的攻击者攻击或控制。管理平台是用于控制计算节点的管理节点,负责对容器集群内各类资源进行统一编排调度管理;业务平面是指承载业务应用程序运行的计算节点,负责执行请求和所分配任务;流量分离是指将管理平台与业务平面的网络通信隔离开来,防止互相干扰或影响。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对管理平台与业务平面进行流量分离。–检查是否使用专业工具实现管理平台与业务平面的流量分离,如是否有网络隔离功能模块;–检查是否将管理平台与业务平面的网络通信隔离开来,如是否使用不同的网络接口、网段、VLAN等方式;–模拟攻击者从业务平面向管理平台发起攻击,观察是否能够成功攻击或控制管理平台。–管理平台与业务平面的流量分离应定期检查和更新,及时修复或替换存在风险的网络设备或组件;–应根据业务特点和网络规模,选择合适的流量分离方式,遵循最佳实践和安全配置;d) 应支持对容器实例的各项性能指标进行集中监控,包括但不限于容器的CPU使用与限制信息、内存使用与限制信息、网络带宽信息、进程信息等。•含义:本要求是为了保证容器实例的性能和可用性,防止容器实例出现资源不足或过载的情况。容器实例的各项性能指标是指反映容器实例运行状态和资源消耗的数据,如CPU使用率、内存使用率、网络带宽、进程数量等;集中监控是指通过管理平台或其他工具对容器实例的各项性能指标进行实时或定期的收集、展示和分析的功能。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例的各项性能指标进行集中监控。
–检查是否使用专业工具支持对容器实例的各项性能指标进行集中监控,如是否有监控软件和界面;–检查是否能够收集、展示和分析容器实例的各项性能指标,如是否有CPU使用与限制信息、内存使用与限制信息、网络带宽信息、进程信息等数据;–模拟容器实例运行过程中出现资源不足或过载的情况,观察是否能够在监控界面中查看到相应的性能指标变化。–容器实例的各项性能指标的集中监控应定期检查和更新,及时发现和处理异常情况;–应根据业务特点和网络规模,选择合适的集中监控工具,,遵循最佳实践和安全配置;a) 应确保容器集群技术供应商的选择符合国家有关规定。•含义:本要求是为了保证容器集群技术供应商的合法性和可信性,防止因为选择不合规或不可信的容器集群技术供应商而导致容器集群出现安全风险。容器集群技术供应商是指为容器集群提供技术支持或服务的单位或个人,如集群编排软件开发商、容器镜像仓库服务商、容器安全工具提供商等。国家有关规定是指国家制定或认可的关于网络安全等级保护、网络安全审查、网络安全认证等方面的法律法规或标准规范。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器集群技术供应商进行合规性和可信性审查。–检查是否对容器集群技术供应商进行了合规性和可信性审查,如是否使用专业工具验证容器集群技术供应商的资质证明、安全记录、服务协议等,并检查是否符合国家有关规定;–检查是否对选择的容器集群技术供应商进行了备案或报备,如是否使用专业工具验证备案或报备的文件和流程,并检查是否符合国家有关规定。–应根据网络等级和业务需求选择合适的技术支持或服务,并按照国家有关规定进行审查和备案;–应与供应商签订相关的合同和协议,明确双方的权利和责任;–应与入侵防范机制相配合,确保不被攻击者利用进行恶意行为。b) 应将容器集群供应链安全事件信息或安全威胁信息及时传达到容器集群用户。•含义:本要求是为了保证容器集群用户能够及时了解和处理容器集群供应链中可能存在的安全事件或威胁,防止因为缺乏有效的信息而导致容器集群出现安全风险。容器集群供应链安全事件信息或安全威胁信息是指容器集群技术供应商或其他相关方面发现或通报的与容器集群供应链相关的安全事件或威胁的信息,如容器镜像仓库被入侵、容器安全工具存在漏洞等。及时传达是指在发现或接收到容器集群供应链安全事件信息或安全威胁信息后,以适当方式和时间向容器集群用户发送通知或警报,以便于容器集群用户采取相应应对措施。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云还是私有云部署的容器集群,都需要及时接收和处理容器集群供应链安全事件信息或安全威胁信息。
–检查是否将容器集群供应链安全事件信息或安全威胁信息及时传达到容器集群用户,如是否能验证通知或警报的发送和接收情况,并检查是否符合及时性要求;–检查是否对接收到的容器集群供应链安全事件信息或安全威胁信息进行了处理,如是否使用专业工具验证处理的方式和结果,并检查是否符合有效性要求。–容器集群供应链安全事件信息或安全威胁信息的传达应根据网络等级和业务需求选择合适的方式和时间,并按照国家有关规定进行通知或警报;–应根据事件或威胁的严重程度和紧急程度,采取相应的通知方式和频率;–容器集群供应链安全事件信息或安全威胁信息的传达应与身份鉴别机制相配合,确保只有授权用户才能接收或发送通知或警报。c) 应将容器集群供应商的重要变更及时传达到容器集群用户,变更带来超危、高危网络安全漏洞风险时应及时修复。•含义:本要求是为了保证容器集群用户能够及时了解和适应容器集群技术供应商的重要变更,防止因为缺乏有效的信息而导致容器集群出现安全风险。重要变更是指容器集群技术供应商进行的可能影响容器集群功能、性能、稳定性、兼容性等方面的变更,如版本升级、服务调整、合作终止等。及时传达是指在进行或接收到重要变更后,以适当的方式和时间向容器集群用户发送通知或警报,以便于容器集群用户采取相应的适应措施。及时修复是指在发现重要变更带来超危、高危网络安全漏洞风险后,以最快的速度采取有效的措施,如发布补丁、回滚版本、更换服务等,以消除或降低网络安全漏洞风险。•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云还是私有云部署的容器集群,都需要及时接收和处理容器集群技术供应商的重要变更。–检查是否将容器集群技术供应商的重要变更及时传达到容器集群用户,如是否能验证通知或警报的发送和接收情况,并检查是否符合及时性要求;–检查是否对接收到的重要变更进行了适应处理,如是否使用专业工具验证处理的方式和结果,并检查是否符合有效性要求;–检查是否对重要变更带来超危、高危网络安全漏洞风险进行了及时修复,如是否使用专业工具验证修复的方式和结果,并检查是否符合及时性要求。–容器集群技术供应商的重要变更传达和处理应根据网络等级和业务需求选择合适的方式和时间,并按照国家有关规定进行通知或警报;–应根据变更的影响范围和严重程度,采取相应的通知方式和频率;–容器集群技术供应商的重要变更传达和处理应与身份鉴别机制相配合,确保只有授权用户才能接收或发送通知或警报。本标准是国内首个针对容器安全的等级保护标准,是网络安全等级保护相关系列标准之一。本标准将GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》的通用安全保护要求进行细化和扩展,提出容器安全保护技术要求。本标准规定了在云环境中采用容器集群技术的等级保护对象的安全要求,包括第一级至第四级的安全要求。本标准适用于在云环境中采用容器集群技术的等级保护对象的安全建设、安全整改和安全测试评估。本标准具有统一认知、全面覆盖、突出重点、易用性等特点,对于推动容器技术在云环境中的安全应用,提高网络安全等级保护工作的质量和水平,促进网络安全产业发展,具有重要意义。