等级保护视角下的容器安全风险及安全要求简介

随着容器技术的普及，越来越多的云上用户使用容器技术部署自己的业务应用系统。作为一种虚拟化技术，容器技术为用户带来了更强大的性能、更节约的资源开销、更高效的部署方式的同时，也带了一些新的安全方面的风险。例如容器自身安全问题、内核隔离问题、宿主机内核安全问题等等。

为方便分析，从是否使用容器集群技术的角度，将容器应用场景划分为两类。对于没有使用容器集群技术的应用场景，可以将容器看作是一种特殊形态的虚拟节点，此场景中并未新增GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》（以下简称“《基本要求》”）安全通用要求无法覆盖的新增安全风险。对于使用了容器集群技术的应用场景，由于容器技术引入的若干特殊对象所带来的新增安全风险，原有安全通用要求已无法全面覆盖，因此有必要针对使用了容器集群技术的容器应用场景提出补充安全要求。

本文将围绕容器集群场景进行讨论。

借鉴已发布的《基本要求》扩展要求的编制思路，作为补充目的出现的安全要求，容器安全要求的提出大致可遵循以下几个原则。

通过梳理我们发现，容器集群应用场景在身份鉴别、访问控制等方面存在新增的安全风险，与之对应的安全要求概述如下。

在身份鉴别方面，由于容器集群场景新增了特殊对象，因此有必要对特殊对象提出要求。这里应重点考虑对容器集群的管理平台、容器镜像仓库、容器实例的访问请求做出身份标识和鉴别的要求。

在访问控制方面，由于容器实例属于一种虚拟节点，存在容器集群用户越权访问容器实例以及容器实例之间的越权访问的风险，因此，需要特别关注容器实例的访问权限。这里应重点考虑容器集群管理平台的相关访问控制功能。

在安全审计方面，应重点关注特殊对象的行为：容器镜像的上传、下载、访问等使用情况；容器管理平台中的资源创建、销毁等事件情况；容器实例的进程、文件等运行事件等。

在入侵防范方面，应重点关注容器集群是否具备容器镜像自身的漏洞检查、发现的能力，确保容器镜像只使用安全的基础容器镜像进行创建，且仅包含必要的软件包和组件，对不安全的镜像应进行处置。同时还应关注容器镜像自身是否包括敏感信息、SSH证书文件及环境变量中是否包含用户名和密码的情况。此外，还应限制容器实例使用特权用户和特权模式运行，防止恶意用户或攻击者使用特权模式对漏洞加以利用。

在恶意代码防范方面，由于容器镜像和容器实例都存在病毒、木马等恶意代码的风险，因此对于静态的容器镜像以及动态的容器实例都应关注恶意代码问题，应对容器镜像及容器实例中可能存在的恶意代码进行检测，并防止恶意代码的横向传播行为。

在容器镜像保护方面，存在恶意用户利用ROOT权限非法修改容器镜像的风险，因此应特别关注容器镜像的完整性，推荐使用签名技术防止容器镜像被篡改。同时应在镜像构建的配置文件中将运行用户定义为非ROOT用户，禁止未定义用户或定义为ROOT用户。

在集中管控方面，为确保容器集群中的虚拟节点的安全有效管理，应重点关注容器集群是否对虚拟节点进行统一管理、容器镜像仓库是否对容器镜像集中管理。与云计算管理平台类似，还应特别关注容器集群管理平台的管理流量是否与业务流量分离，防止容器集群用户访问平台管理信息。

在供应链管理方面，容器集群作为一种虚拟化的服务平台，其自身的安全问题和缺陷漏洞等情况可能大面积影响容器集群用户业务应用系统的安全运行，因此应特别关注容器集群技术供应链上发生的安全事件和威胁信息是否能及时传递到容器集群用户。

本文分析了容器应用的场景，提出了容器集群技术应关注的安全要求。下一步，我们将进一步归纳梳理，形成等级保护2.0标准框架下的《网络安全等级保护容器安全要求》，用于指导网络建设单位、测评人员从网络安全等级保护的角度对基于容器技术的网络进行建设和测试评估。