2023年4月19日,中关村信息安全测评联盟发布《关于发布<网络安全等级保护容器安全要求>团体标准的通知》,该标准已正式发布并自2023年7月1日起实施。
1.4 入侵防范
本项要求包括:
a) 应确保容器镜像只使用安全的基础容器镜像,仅包含必要的软件包或组件,对不安全镜像进行告警,并实现拦截;
•含义:本要求是为了保证容器镜像的安全性,防止容器镜像中存在软件漏洞或恶意代码。安全的基础容器镜像是指经过官方或可信任机构发布和维护的容器镜像,如Alpine、Ubuntu等;必要的软件包或组件是指容器镜像中只包含运行应用程序所需的最小化软件包或组件,避免引入不必要的风险;不安全镜像是指使用了不安全的基础镜像、安装了未使用的软件包等情况。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像进行入侵防范。
•评测方法:本要求可以通过以下方法进行评测:
–检查容器镜像是否只使用安全的基础容器镜像,如是否有基础容器镜像清单和来源验证;
–检查容器镜像是否仅包含必要的软件包或组件,如是否有软件包或组件清单和用途说明;
–检查基础容器镜像是否存在不安全情况,如是否使用专业工具扫描基础容器镜像的漏洞情况;
–检查是否对不安全镜像进行告警,并实现拦截,如是否有告警日志和拦截记录。
•注意事项:本要求需要注意以下事项:
–应选择符合国家标准或可信任机构发布和维护的容器镜像,并保持其最新版本;
–应根据业务需求和安全风险,合理选择不同类型和版本的软件包或组件,并设定相应的配置参数;
–应定期检查和修复容器镜像可能存在的安全风险,并及时更新容器镜像。
b) 应确保容器镜像修复超危、高危、中危及低危网络安全漏洞。
•含义:本要求是为了保证容器镜像中不存在可被利用的网络安全漏洞,防止容器实例被攻击者入侵和控制。网络安全漏洞是指容器镜像中存在的可以被攻击者利用来获取非法访问或操作权限的缺陷或弱点;超危、高危、中危及低危是指根据GB/T 30279-2020《信息安全技术 网络安全漏洞分类分级指南》对网络安全漏洞进行分类分级的结果,分别表示网络安全漏洞的危害程度由高到低依次递减。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像进行网络安全漏洞修复。
•评测方法:本要求可以通过以下方法进行评测:
–检查容器镜像是否修复了超危、高危、中危及低危网络安全漏洞,如是否使用专业工具扫描容器镜像漏洞,并对漏洞进行分类分级;
–检查容器镜像是否及时更新或替换,如是否有更新或替换日志和记录;
–模拟攻击者利用已知的超危、高危、中危及低危网络安全漏洞攻击容器镜像,观察是否能够成功入侵或控制容器镜像。
•注意事项:本要求需要注意以下事项:
–应使用符合国家有关规定和标准的网络安全漏洞扫描工具,并保持其最新版本;
–应根据业务需求和安全风险,合理设定不同类型的网络安全漏洞扫描策略,并设定相应的扫描频率和范围;
–应及时关注和获取网络安全漏洞的相关信息,并根据其影响程度和紧急程度,制定相应的修复计划和方案;
–应在修复网络安全漏洞前进行备份和测试,在修复后进行验证和评估。
c) 应确保容器镜像内不包含敏感信息、SSH等证书文件,环境变量中不包含用户名密码。
•含义:本要求是为了保证容器镜像中不泄露任何可能被攻击者利用的敏感信息,防止容器实例被攻击者入侵和控制。敏感信息是指容器镜像中可能存在的与业务相关的数据或配置信息,如数据库连接字符串、API 密钥等;SSH 等证书文件是指容器镜像中可能存在的用于远程登录或加密通信的密钥文件,如 id_rsa、id_dsa 等;环境变量是指容器镜像中可能存在的用于设置或传递用户名或密码的变量,如 USER、PASSWORD 等。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像进行敏感信息清理。
•评测方法:本要求可以通过以下方法进行评测:
–检查容器镜像是否包含敏感信息、SSH 等证书文件,如是否使用专业工具扫描容器镜像文件,并检查是否存在敏感信息、SSH 等证书文件;
–检查容器镜像中的环境变量是否包含用户名密码,如是否使用专业工具扫描容器镜像配置文件,并检查是否存在用户名密码等敏感信息。
•注意事项:本要求需要注意以下事项:
–应避免在容器镜像内硬编码敏感信息、SSH 等证书文件,应使用外部存储或配置管理工具来管理这些信息;
–应定期检查和更新敏感信息、SSH 等配置,并及时删除过期或无效的信息;
–应使用强密码策略,避免使用弱口令或默认口令;
–应使用加密技术来保护敏感信息、SSH 等证书文件,环境变量中的用户名密码等。
d) 应在容器镜像创建或部署过程中扫描容器镜像漏洞,对不安全的镜像进行告警并阻断创建或部署流程。
•含义:本要求是为了保证在容器集群中创建或部署新的容器实例时,使用的容器镜像是安全可信的,防止因为使用不安全的容器镜像而导致容器实例被攻击者入侵和控制。扫描容器镜像漏洞是指在创建或部署新的容器实例之前,对所使用的容器镜像进行漏洞检测和分析,发现并修复其中存在的网络安全漏洞;告警并阻断创建或部署流程是指在发现使用的容器镜像存在超危、高危、中危或低危网络安全漏洞时,及时向相关人员发送告警信息,并停止创建或部署新的容器实例。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要在创建或部署新的容器实例时进行容器镜像漏洞扫描。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否在创建或部署新的容器实例之前,对所使用的容器镜像进行漏洞扫描,如是否使用专业工具扫描容器镜像漏洞,并对漏洞进行分类分级;
–检查是否对存在超危、高危、中危或低危网络安全漏洞的容器镜像进行告警,并阻断创建或部署,是否有告警日志和拦截记录。
•注意事项:本要求需要注意以下事项:
–容器镜像的漏洞扫描应根据网络等级和业务需求选择合适的频率和时机,如第三级以上网络应在每次创建或部署新的容器实例之前进行漏洞扫描;
–确保只有授权用户才能访问或操作容器镜像;
–确保只使用安全可信的容器镜像创建或部署新的容器实例;
–应使用符合国家有关规定和标准的网络安全漏洞扫描工具,并保持其最新版本;
–应根据业务需求和安全风险,合理设定不同类型的网络安全漏洞扫描策略,并设定相应的扫描频率和范围;
–应及时关注和获取网络安全漏洞的相关信息,并根据其影响程度和紧急程度,制定相应的修复计划和方案;
–应在修复网络安全漏洞前进行备份和测试,在修复后进行验证和评估。
e) 应统计和删除容器镜像仓库中长期未被下载使用且存在安全风险的镜像。
•含义:本要求是为了保证容器镜像仓库中只存储安全可信且有用的容器镜像,防止因为使用过期或不安全的容器镜像而导致容器实例被攻击者入侵和控制。统计和删除容器镜像仓库中长期未被下载使用且存在安全风险的镜像是指定期对容器镜像仓库中的所有容器镜像进行统计和分析,找出那些长时间没有被下载使用且存在超危、高危、中危或低危网络安全漏洞的容器镜像,并将其从容器镜像仓库中删除。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要定期清理容器镜像仓库中无用且不安全的容器镜像。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否定期对容器镜像仓库中的所有容器镜像进行统计和分析,如是否使用专业工具统计容器镜像的下载次数和时间,并扫描容器镜像漏洞;
–检查是否删除了长期未被下载使用且存在超危、高危、中危或低危网络安全漏洞的容器镜像,并记录删除日志。
•注意事项:本要求需要注意以下事项:
–应及时关注和获取网络安全漏洞的相关信息,并根据其影响程度和紧急程度,制定相应的清理或删除计划和方案;
–应在清理或删除容器镜像前进行备份和测试,在清理或删除后进行验证和评估。
f) 除基础平台组件外,应禁止业务容器实例使用特权用户和特权模式运行,并对特权用户运行容器行为进行告警并拦截。
•含义:本要求是为了保证业务容器实例的隔离性和安全性,防止业务容器实例被攻击者利用特权用户或特权模式进行容器逃逸或其他恶意行为。特权用户是指在容器实例中具有最高权限的用户,如 root 用户;特权模式是指在创建或运行容器实例时,给予容器实例额外的权限,如访问宿主机的设备、网络或文件系统等。基础平台组件是指在容器集群中提供基础服务或功能的容器实例,如 API Server、CoreDNS、Controller、Scheduler、ETCD 等。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对业务容器实例进行特权用户和特权模式限制。
•评测方法:本要求可以通过以下方法进行评测:
–检查业务容器实例是否使用特权用户和特权模式运行,如是否使用专业工具扫描业务容器实例的配置文件,并检查是否存在特权用户或特权模式设置;
–检查是否对使用特权用户和特权模式运行的业务容器实例进行告警并拦截,如是否有告警日志和拦截记录。
•注意事项:本要求需要注意以下事项:
–除基础平台组件外,业务容器实例应尽量避免或最小化使用特权用户和特权模式运行,以防止容器逃逸或其他攻击手段;
–当业务容器实例必须要使用特权用户和特权模式运行时应进行严格审查和监控。
g) 应监测对管理平台和容器实例的攻击行为并拦截。
•含义:本要求是为了保证管理平台和容器实例的安全性,防止管理平台和容器实例被攻击者入侵和控制。攻击行为是指对管理平台和容器实例进行的非法访问或操作,如利用漏洞执行命令、反弹 shell 等。监测并拦截是指通过安全工具,发现并阻止攻击行为,以保护管理平台和容器实例的完整性、可用性和机密性。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对管理平台和容器实例进行攻击行为监测和拦截。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否对管理平台和容器实例进行攻击行为监测,如使用专业工具监测管理平台和容器实例并分析是否存在异常或恶意行为;
–检查是否对发现的攻击行为进行拦截,如是否使用专业工具拦截非法访问或操作,并记录拦截日志和原因。
•注意事项:本要求需要注意以下事项:
–管理平台和容器实例的攻击行为监测和拦截应根据网络等级和业务需求选择合适的频率和时机,如第三级以上网络应支持进行攻击行为监测和拦截;
–管理平台和容器实例的攻击行为监测和拦截应与身份鉴别机制相配合,确保只有授权用户才能访问或操作管理平台和容器实例;
–应使用符合国家标准或行业规范的容器入侵检测和防御系统;
–应及时更新攻击特征库;
–应设置合理的告警阈值和响应策略。
h) 应监测容器集群内异常流量,对异常流量拦截。
•含义:本要求是为了保证容器集群内的网络安全,防止容器集群内出现恶意流量或攻击流量。异常流量是指在容器集群内部或与外部通信时出现的不符合正常业务逻辑或规则的网络流量,如端口扫描、数据泄露、分布式拒绝服务等。监测并拦截是指通过安全工具,发现并阻止异常流量,以保护容器集群内的网络资源。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器集群内的异常流量进行监测和拦截。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否对容器集群内的网络流量进行监测,如是否使用专业工具监测容器集群内部或与外部通信的网络流量,并分析是否存在异常或恶意流;
–检查是否支持对异常流量拦截的机制,验证是否能够及时发现和阻止异常流量。
•注意事项:本要求需要注意以下事项:
–应使用符合国家标准或行业规范的容器网络监控系统;
–应及时更新异常流量特征库;
–应设置合理的告警阈值和响应策略。
i) 应对失陷容器进行响应处置,例如关闭或隔离容器。
•含义:本要求是为了保证容器集群内的安全性,防止失陷容器对其他容器或宿主机造成影响或损害。失陷容器是指已被攻击者入侵和控制的容器,可能被用于执行恶意命令、传播恶意代码、窃取敏感信息等。响应处置是指在发现失陷容器后,及时采取有效的措施,如关闭或隔离失陷容器,以阻止其继续进行恶意行为,并进行进一步的分析和恢复。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对失陷容器进行响应处置。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否对失陷容器进行响应处置,如是否使用专业工具发现并关闭或隔离失陷容器,并记录响应处置日志和原因;
–检查是否对失陷容器进行进一步的分析和恢复,如是否使用专业工具分析失陷容器的入侵方式、影响范围、恶意行为等,并采取相应的恢复措施,如删除恶意代码、修复漏洞、更换密钥等。
•注意事项:本要求需要注意以下事项:
–应根据失陷容器的影响范围和严重程度,采取相应的处置措施,如在容器内阻断恶意进程、隔离、备份、恢复等;
–应及时分析失陷原因,采取预防措施,避免同类事件再次发生。
1.5 恶意代码防范
本项要求包括:
a) 应识别容器镜像内的病毒、木马等恶意代码,对危险容器镜像告警并阻止该镜像加入容器仓库。
•含义:本要求是为了保证容器镜像中不存在病毒、木马等恶意代码,防止容器实例被感染或控制。恶意代码是指容器镜像中存在的可以对容器实例或其他主机造成损害或威胁的程序或指令;危险容器镜像是指容器镜像中存在恶意代码的情况。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像进行恶意代码防范。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否使用专业工具识别容器镜像内的病毒、木马等恶意代码,如是否有恶意代码扫描功能模块;
–检查是否对危险容器镜像进行告警,并实现拦截,如是否有告警日志和拦截记录;
–模拟攻击者向容器镜像中植入病毒、木马等恶意代码,观察是否能够被识别和拦截。
•注意事项:本要求需要注意以下事项:
–容器镜像的恶意代码防范应定期检查和更新,及时修复或替换存在风险的容器镜像;
–容器镜像的恶意代码防范应与网络等级相匹配,如第三级以上网络应阻止所有危险容器镜像加入容器仓库;
b) 应监测容器实例运行过程中的恶意代码上传、下载、横向传播行为并拦截。
•含义:本要求是为了保证容器实例在运行过程中不被感染或控制。恶意代码上传、下载、横向传播行为是指攻击者利用网络安全漏洞或其他手段向容器实例中注入或从容器实例中提取恶意代码,或者使恶意代码在多个容器实例之间传播的行为。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例进行恶意代码防范。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否使用专业工具监测容器实例运行过程中的恶意代码上传、下载、横向传播行为,如是否有 webshell 监控功能模块;
–检查是否对发现的恶意代码上传、下载、横向传播行为进行拦截,如是否有拦截日志和记录;
–模拟攻击者向容器实例中上传、下载或横向传播恶意代码,观察是否能够被监测和拦截。
•注意事项:本要求需要注意以下事项:
–应及时更新恶意代码特征库;
–应设置合理的告警阈值和响应策略;
–应对失陷容器进行响应处置,如关闭、隔离、备份、恢复等。
1.6 容器镜像保护
本项要求包括:
a) 应具备容器镜像签名功能,对容器镜像完整性进行校验。
•含义:本要求是为了保证容器镜像的完整性,防止容器镜像被篡改或替换。容器镜像签名功能是指使用数字签名技术对容器镜像进行身份认证和数据完整性验证的功能;容器镜像完整性校验是指使用数字签名技术对容器镜像的签名进行验证,确保容器镜像没有被修改或替换的过程。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像进行签名和校验。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否具备容器镜像签名功能,如是否使用符合国家标准或行业规范的数字签名算法和密钥长度;
–检查是否对容器镜像进行完整性校验,如是否在上传、下载或部署容器镜像时进行签名验证;
–模拟攻击者篡改或替换容器镜像,观察是否能够被发现和拦截。
•注意事项:本要求需要注意以下事项:
–容器镜像的签名和校验应定期检查和更新,及时修复或替换存在风险的容器镜像;
–应定期更新签名密钥和证书;
–应避免使用过期或泄露的签名密钥和证书。
b) 应在镜像构建配置文件中将运行用户定义为非最高权限用户,禁止未定义用户或定义为最高权限用户。
•含义:本要求是为了保证容器实例的安全性,防止容器实例被攻击者利用特权用户进行攻击或控制。运行用户是指在容器实例中执行应用程序的用户;最高权限用户是指在容器实例中具有最高权限的用户,如root用户;未定义用户是指在容器实例中没有明确指定运行用户的情况;镜像构建配置文件是指用于定义容器镜像构建过程中的参数和命令的文件,如Dockerfile文件。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对运行用户进行定义和限制。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否在镜像构建配置文件中将运行用户定义为非最高权限用户,如是否使用USER命令指定运行用户;
–检查是否禁止未定义用户或定义为最高权限用户,如是否使用专业工具扫描或检查运行用户设置;
–模拟攻击者利用特权用户攻击或控制容器实例,观察是否能够成功攻击或控制。
•注意事项:本要求需要注意以下事项:
–运行用户的定义和限制应根据网络等级和业务需求选择合适的方式,遵循最小权限原则,避免过度授权或欠缺授权;
–运行用户的定义和限制应定期检查和更新,及时修复或替换存在风险的容器镜像;
–运行用户的定义和限制应与身份鉴别机制相配合,确保只有授权用户才能访问或操作容器实例。
c) 应采用密码技术或其他技术手段防止容器镜像中可能存在的敏感资源被非法访问。
•含义:本要求是为了保证容器镜像中的敏感资源不被泄露或滥用,防止因为敏感资源泄露或滥用而导致容器实例被攻击者入侵和控制。敏感资源是指容器镜像中可能存在的与业务相关的数据或配置信息,如数据库连接字符串、API 密钥等。密码技术或其他技术手段是指使用国密技术对容器镜像中的敏感资源进行保护,以防止非法访问。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像中的敏感资源进行保护。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否采用国密技术对镜像仓库存储的容器镜像进行保护;
–检查是否对非法访问容器镜像中的敏感资源进行告警并拦截,如是否有告警日志和拦截记录。
•注意事项:本要求需要注意以下事项:
–容器镜像中的敏感资源保护应根据网络等级和业务需求选择合适的密码技术或其他技术手段,如第三级以上网络应使用加密技术;
–应使用强密码或其他更高强度的保护方式;
–应定期更换密码或更新密钥,避免将敏感资源暴露在容器镜像中。
2 安全管理中心
2.1 集中管控
本项要求包括:
a) 应实现以容器集群的方式对容器实例等资源进行统一编排调度管理,并具备容器实例的故障自动恢复、弹性伸缩等可用性要求。
•含义:本要求是为了保证容器集群的高效管理和高可用性,防止容器实例出现故障或资源不足的情况。容器集群的方式是指采用编排软件来统一管理容器形成的集群,如Kubernetes、Docker Swarm等;容器实例的故障自动恢复是指当容器实例出现异常或崩溃时,能够自动重启或重新调度到其他计算节点上继续运行的能力;弹性伸缩是指根据用户的业务需求和预设策略,自动调整计算资源,使计算节点数量随业务负载需求自动变化的能力。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云还是私有云部署的容器集群,都需要对容器实例等资源进行统一编排调度管理,并具备故障自动恢复、弹性伸缩等可用性要求。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否使用专业工具实现以容器集群的方式对容器实例等资源进行统一编排调度管理,如是否有编排软件和管理界面;
–检查是否具备容器实例的故障自动恢复能力,如是否有健康检查和重启策略;
–检查是否具备容器实例的弹性伸缩能力,如是否有水平扩展和垂直扩展策略;
–模拟容器实例出现故障或业务负载变化的情况,观察是否能够自动恢复或调整计算资源。
•注意事项:本要求需要注意以下事项:
–应根据业务特点和网络规模,选择合适的集群编排工具,遵循最佳实践和安全配置;
–容器实例的故障自动恢复能力应根据网络等级和业务需求选择合适的健康检查和重启策略,避免过度重启或无法重启;
–容器实例的弹性伸缩能力应根据网络等级和业务需求选择合适的水平扩展和垂直扩展策略,避免过度扩展或无法扩展。
b) 应通过容器镜像仓库对容器镜像进行集中管理,以实现多个容器镜像仓库数据同步,并具备推送和拉取等多种同步方式。
•含义:本要求是为了保证容器镜像的统一管理和数据一致性,防止容器镜像出现版本不一致或数据丢失的情况。容器镜像仓库是用于容器镜像分类、标记、存储、下载和版本控制的服务组件;多个容器镜像仓库数据同步是指在不同的物理位置或网络环境中部署的容器镜像仓库之间进行容器镜像数据的同步,保证数据的一致性;推送和拉取等多种同步方式是指支持主动或被动地触发容器镜像数据的同步,如通过命令行或界面操作进行推送或拉取操作。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要通过容器镜像仓库对容器镜像进行集中管理,并实现多个容器镜像仓库数据同步。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否使用专业工具通过容器镜像仓库对容器镜像进行集中管理,如是否有容器镜像仓库软件和管理界面;
–检查是否实现多个容器镜像仓库数据同步,如是否有同步配置和日志;
–检查是否具备推送和拉取等多种同步方式,如是否支持命令行或界面操作进行推送或拉取操作;
–模拟在不同的物理位置或网络环境中部署的容器镜像仓库之间进行容器镜像数据的同步,观察是否能够成功同步。
•注意事项:本要求需要注意以下事项:
–容器镜像仓库的集中管理和数据同步应定期检查和更新,及时修复或替换存在风险的容器镜像;
–应根据业务特点和网络规模,选择合适的容器镜像仓库,遵循最佳实践和安全配置;
–应合理配置仓库参数和策略;
–应定期检查和优化仓库性能和稳定性。
c) 应实现管理平台与业务平面的流量分离。
•含义:本要求是为了保证管理平台与业务平面的安全隔离,防止管理平台被业务平面的攻击者攻击或控制。管理平台是用于控制计算节点的管理节点,负责对容器集群内各类资源进行统一编排调度管理;业务平面是指承载业务应用程序运行的计算节点,负责执行请求和所分配任务;流量分离是指将管理平台与业务平面的网络通信隔离开来,防止互相干扰或影响。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对管理平台与业务平面进行流量分离。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否使用专业工具实现管理平台与业务平面的流量分离,如是否有网络隔离功能模块;
–检查是否将管理平台与业务平面的网络通信隔离开来,如是否使用不同的网络接口、网段、VLAN等方式;
–模拟攻击者从业务平面向管理平台发起攻击,观察是否能够成功攻击或控制管理平台。
•注意事项:本要求需要注意以下事项:
–管理平台与业务平面的流量分离应定期检查和更新,及时修复或替换存在风险的网络设备或组件;
–应根据业务特点和网络规模,选择合适的流量分离方式,遵循最佳实践和安全配置;
–应合理配置流量分离参数和策略;
–应定期检查和优化流量分离性能和稳定性。
d) 应支持对容器实例的各项性能指标进行集中监控,包括但不限于容器的CPU使用与限制信息、内存使用与限制信息、网络带宽信息、进程信息等。
•含义:本要求是为了保证容器实例的性能和可用性,防止容器实例出现资源不足或过载的情况。容器实例的各项性能指标是指反映容器实例运行状态和资源消耗的数据,如CPU使用率、内存使用率、网络带宽、进程数量等;集中监控是指通过管理平台或其他工具对容器实例的各项性能指标进行实时或定期的收集、展示和分析的功能。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例的各项性能指标进行集中监控。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否使用专业工具支持对容器实例的各项性能指标进行集中监控,如是否有监控软件和界面;
–检查是否能够收集、展示和分析容器实例的各项性能指标,如是否有CPU使用与限制信息、内存使用与限制信息、网络带宽信息、进程信息等数据;
–模拟容器实例运行过程中出现资源不足或过载的情况,观察是否能够在监控界面中查看到相应的性能指标变化。
•注意事项:本要求需要注意以下事项:
–容器实例的各项性能指标的集中监控应定期检查和更新,及时发现和处理异常情况;
–应根据业务特点和网络规模,选择合适的集中监控工具,,遵循最佳实践和安全配置;
–应合理配置监控参数和策略;
–应定期检查和优化监控性能和稳定性。
3 安全建设管理
3.1 供应链管理
本项要求包括:
a) 应确保容器集群技术供应商的选择符合国家有关规定。
•含义:本要求是为了保证容器集群技术供应商的合法性和可信性,防止因为选择不合规或不可信的容器集群技术供应商而导致容器集群出现安全风险。容器集群技术供应商是指为容器集群提供技术支持或服务的单位或个人,如集群编排软件开发商、容器镜像仓库服务商、容器安全工具提供商等。国家有关规定是指国家制定或认可的关于网络安全等级保护、网络安全审查、网络安全认证等方面的法律法规或标准规范。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器集群技术供应商进行合规性和可信性审查。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否对容器集群技术供应商进行了合规性和可信性审查,如是否使用专业工具验证容器集群技术供应商的资质证明、安全记录、服务协议等,并检查是否符合国家有关规定;
–检查是否对选择的容器集群技术供应商进行了备案或报备,如是否使用专业工具验证备案或报备的文件和流程,并检查是否符合国家有关规定。
•注意事项:本要求需要注意以下事项:
–应根据网络等级和业务需求选择合适的技术支持或服务,并按照国家有关规定进行审查和备案;
–应与供应商签订相关的合同和协议,明确双方的权利和责任;
–应定期对供应商进行考核和评价;
–应与入侵防范机制相配合,确保不被攻击者利用进行恶意行为。
b) 应将容器集群供应链安全事件信息或安全威胁信息及时传达到容器集群用户。
•含义:本要求是为了保证容器集群用户能够及时了解和处理容器集群供应链中可能存在的安全事件或威胁,防止因为缺乏有效的信息而导致容器集群出现安全风险。容器集群供应链安全事件信息或安全威胁信息是指容器集群技术供应商或其他相关方面发现或通报的与容器集群供应链相关的安全事件或威胁的信息,如容器镜像仓库被入侵、容器安全工具存在漏洞等。及时传达是指在发现或接收到容器集群供应链安全事件信息或安全威胁信息后,以适当的方式和时间向容器集群用户发送通知或警报,以便于容器集群用户采取相应的应对措施。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云还是私有云部署的容器集群,都需要及时接收和处理容器集群供应链安全事件信息或安全威胁信息。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否将容器集群供应链安全事件信息或安全威胁信息及时传达到容器集群用户,如是否能验证通知或警报的发送和接收情况,并检查是否符合及时性要求;
–检查是否对接收到的容器集群供应链安全事件信息或安全威胁信息进行了处理,如是否使用专业工具验证处理的方式和结果,并检查是否符合有效性要求。
•注意事项:本要求需要注意以下事项:
–容器集群供应链安全事件信息或安全威胁信息的传达应根据网络等级和业务需求选择合适的方式和时间,并按照国家有关规定进行通知或警报;
–应建立有效的沟通渠道和联系方式;
–应明确通知内容和时间要求;
–应根据事件或威胁的严重程度和紧急程度,采取相应的通知方式和频率;
–容器集群供应链安全事件信息或安全威胁信息的传达应与身份鉴别机制相配合,确保只有授权用户才能接收或发送通知或警报。
c) 应将容器集群供应商的重要变更及时传达到容器集群用户,变更带来超危、高危网络安全漏洞风险时应及时修复。
•含义:本要求是为了保证容器集群用户能够及时了解和适应容器集群技术供应商的重要变更,防止因为缺乏有效的信息而导致容器集群出现安全风险。重要变更是指容器集群技术供应商进行的可能影响容器集群功能、性能、稳定性、兼容性等方面的变更,如版本升级、服务调整、合作终止等。及时传达是指在进行或接收到重要变更后,以适当的方式和时间向容器集群用户发送通知或警报,以便于容器集群用户采取相应的适应措施。及时修复是指在发现重要变更带来超危、高危网络安全漏洞风险后,以最快的速度采取有效的措施,如发布补丁、回滚版本、更换服务等,以消除或降低网络安全漏洞风险。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云还是私有云部署的容器集群,都需要及时接收和处理容器集群技术供应商的重要变更。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否将容器集群技术供应商的重要变更及时传达到容器集群用户,如是否能验证通知或警报的发送和接收情况,并检查是否符合及时性要求;
–检查是否对接收到的重要变更进行了适应处理,如是否使用专业工具验证处理的方式和结果,并检查是否符合有效性要求;
–检查是否对重要变更带来超危、高危网络安全漏洞风险进行了及时修复,如是否使用专业工具验证修复的方式和结果,并检查是否符合及时性要求。
•注意事项:本要求需要注意以下事项:
–容器集群技术供应商的重要变更传达和处理应根据网络等级和业务需求选择合适的方式和时间,并按照国家有关规定进行通知或警报;
–应根据变更的影响范围和严重程度,采取相应的通知方式和频率;
本标准是国内首个针对容器安全的等级保护标准,是网络安全等级保护相关系列标准之一。本标准将GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》的通用安全保护要求进行细化和扩展,提出容器安全保护技术要求。本标准规定了在云环境中采用容器集群技术的等级保护对象的安全要求,包括第一级至第四级的安全要求。本标准适用于在云环境中采用容器集群技术的等级保护对象的安全建设、安全整改和安全测试评估。本标准具有统一认知、全面覆盖、突出重点、易用性等特点,对于推动容器技术在云环境中的安全应用,提高网络安全等级保护工作的质量和水平,促进网络安全产业发展,具有重要意义。
长按识别二维码 即刻关注我们
原文始发于微信公众号(公安部网络安全等级保护中心):《网络安全等级保护容器安全要求》标准解读(下)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论