国内首个《云原生安全配置基线规范》标准正式发布

云原生安全领域的最大的风险之一是安全配置错误，错误的安全配置会通过软件供应链引入企业应用环境，对企业造成巨大的损失，因此云原生安全配置基线是企业共同关注的焦点。在此背景下，中国信通院联合多家用云单位、云服务商、安全企业开启《云原生安全配置基线规范》标准的编写工作。

2023年7月25日，由中国信息通信研究院（以下简称“中国信通院”）、中国通信标准化协会主办的第十届可信云大会在北京成功举办。会上正式发布了由云计算开源产业联盟归口的国内首个《云原生安全配置基线规范》标准。

中国信息通信研究院云计算与大数据研究所、华为云计算技术有限公司、阿里云计算有限公司、腾讯云计算有限责任公司、中移动信息技术有限公司、天翼云科技有限公司、北京银行总行软件开发中心、奇安信科技集团股份有限公司、北京小佑网络科技有限公司、北京升鑫网络科技有限公司、厦门服云信息科技有限公司、杭州探真数字科技有限公司、杭州默安科技有限公司、安易科技（北京）有限公司、北京华云安信息技术有限公司、北京东方通科技股份有限公司等参编单位代表共同上台，举行了《云原生安全配置基线规范》标准的发布仪式。

标准介绍

《云原生安全配置基线规范》中的云原生安全配置基线要求是对云原生工具Kubernetes的安全配置基线的要求，如图所示，本标准中的要求主要包括对Kubernetes主节点API Server、控制管理器、调度器、etcd的安全配置要求，对工作节点kube-proxy、kubelet、工作负载的安全配置要求，以及针对附加项的CNI和网络策略配置的要求。

除了对应的安全要求之外，为了配合自动化基线扫描工具的使用，本标准中的各项要求均附有自动化要求。自动化要求是基于工具对基线具有自动检测的能力，并可以验证为通过/失败状态，但是检测结果是否被采纳并根据检测结果进行架构，不在自动化能力表述的范围内，规范中不能自动化的要求是表示不能对其进行技术检测的完全自动化并输出验证结果，一般需要手动步骤来验证配置的状态是否按预期设置，预期状态可能根据环境而异。