網(wǎng)絡(luò)安全等級保護容器安全要求（報批稿）

ContainersecurityrequirementforclassifiedprotectionofcybersecurityI II III 1 1 1 2 2 3 3 4 4 4 4 5 5 5 58.2安全管理中心 68.3安全建設(shè)管理 6 6 69.2安全管理中心 79.3安全建設(shè)管理 8 8 9A.1場景與安全要求 9 10 121網(wǎng)絡(luò)安全等級保護容器安全要求本文件規(guī)定了在云環(huán)境中采用容器集群技術(shù)的等級保護對象的安全要求，包括第一級至第四級網(wǎng)本文件適用于在云環(huán)境中采用容器集群技術(shù)的等級保護對象的安全建設(shè)、安全整改和安全測試評估。網(wǎng)絡(luò)安全監(jiān)管部門依法對采用容器集群技術(shù)GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評GB/T28458-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識與描述GB/T30279-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級3.13.23.33.4用于容器鏡像分類、標(biāo)記、存儲、下載和版本控制的3.53.63.73.823.9用于保障容器實例運行機制符合特定規(guī)范的一組軟件集合。3.103.11環(huán)境變量environmentvar包含關(guān)于系統(tǒng)及當(dāng)前登錄用戶的環(huán)境信息的4縮略語OCI：開放容器標(biāo)準(zhǔn)（OpenContainerIniti5容器集群及風(fēng)險概述容器集群鏡像倉庫——管理平臺是用于控制計算節(jié)點的管理節(jié)點。所有任務(wù)分配都來自于管理平臺，容器集群提供APIServer、CoreDNS、Controller、Scheduler、ETCD等核心組件，這些管理組件如果配行控制。每個計算節(jié)點上存在容器鏡像、容器運行時、集群網(wǎng)絡(luò)、容器實例等3——容器運行時是為了運行容器實例，每個計算節(jié)點都需要安裝一個容器運行時引擎。比如——容器鏡像負(fù)責(zé)給容器實例提供一個虛擬的文件系統(tǒng)，所有需要運行的容器鏡像都必須先下載如果容器實例本身配置不當(dāng)或者容器實例中有惡意命令執(zhí)行可能會導(dǎo)致計算節(jié)點或者其他容——容器實例所依賴的容器鏡像會集中存儲于容器鏡像倉庫中，如果容器鏡像倉庫出現(xiàn)配置不當(dāng)或者軟件漏洞可能會導(dǎo)致鏡像被惡意篡改，所有容器鏡像倉庫相關(guān)的檢測項就是對容器鏡像私有容器集群三種場景。通常公有容器集群場景是指用戶采用公有云服務(wù)商提供的云主機作為部署容指用戶在IDC機房使用物理機自建的容器集群。私有6.1安全計算環(huán)境a)應(yīng)對管理平臺的訪問請求進(jìn)行身份標(biāo)識和鑒別；b)應(yīng)對容器鏡像倉庫的訪問請求進(jìn)行身份標(biāo)識和鑒別；c)應(yīng)對容器實例的訪問請求進(jìn)行身份標(biāo)識和鑒別。b)應(yīng)實現(xiàn)對容器鏡像倉庫訪問控制；c)應(yīng)實現(xiàn)容器實例之間的網(wǎng)絡(luò)訪問控e)應(yīng)實現(xiàn)容器實例對宿主機資源的訪問控c)應(yīng)在容器鏡像創(chuàng)建或部署過程中掃描容器鏡像漏洞；46.2安全管理中心a)應(yīng)實現(xiàn)以容器集群的方式對容器實例等資源進(jìn)行統(tǒng)一編排調(diào)度管理；b)應(yīng)通過容器鏡像倉庫對容器鏡像進(jìn)行集中管理；6.3安全建設(shè)管理a)應(yīng)對管理平臺的訪問請求進(jìn)行身份標(biāo)識和鑒別，并確保使用安全協(xié)議連接；c)應(yīng)對容器實例的訪問請求進(jìn)行身份標(biāo)識和鑒別，并確保使用安全協(xié)議連接。b)應(yīng)實現(xiàn)對容器鏡像倉庫訪問控制；c)應(yīng)實現(xiàn)多用戶場景下容器實例之間的網(wǎng)絡(luò)訪問控制；e)應(yīng)實現(xiàn)容器實例對宿主機資源的訪問控a)應(yīng)審計容器鏡像使用情況，包括鏡像上傳、鏡像下載事件；b)應(yīng)審計管理平臺事件，包括各資源創(chuàng)建、更新、銷毀等事件；c)應(yīng)審計容器實例事件，包括進(jìn)程、文件、網(wǎng)絡(luò)等事d)應(yīng)實現(xiàn)審計數(shù)據(jù)留存或備份，審計數(shù)據(jù)保存時間應(yīng)符合法律法規(guī)要求。b)應(yīng)確保容器鏡像修復(fù)超危和高危網(wǎng)絡(luò)安全漏洞；d)應(yīng)在容器鏡像創(chuàng)建或部署過程中掃描容器鏡像漏洞；g)應(yīng)監(jiān)測對管理平臺和容器實例的攻擊行為并告h)應(yīng)監(jiān)測容器集群內(nèi)異常流量，對異常流量告警。5b)應(yīng)監(jiān)測容器實例運行過程中的惡意代碼上傳、下載、橫向傳播行為并告警。b)應(yīng)在鏡像構(gòu)建配置文件中將運行用戶定義為非最高權(quán)限用戶。a)應(yīng)實現(xiàn)以容器集群的方式對容器實例等資源進(jìn)行統(tǒng)一編排調(diào)度管理，并具備容器實例的故障b)應(yīng)通過容器鏡像倉庫對容器鏡像進(jìn)行統(tǒng)一管理，以實現(xiàn)多個容器鏡像倉庫數(shù)據(jù)同步；b)應(yīng)將容器集群供應(yīng)鏈安全事件信息或安全威脅信息及時傳達(dá)到容器集群用戶。c)應(yīng)對容器實例的訪問請求進(jìn)行身份標(biāo)識和a)應(yīng)對管理平臺實現(xiàn)基于角色或更細(xì)粒度的訪問控制，支持設(shè)定不同用戶對管理平b)應(yīng)實現(xiàn)對容器鏡像倉庫設(shè)定細(xì)粒度的訪問控制，支持項目級別權(quán)限控制；d)應(yīng)確保集群用戶和應(yīng)用程序?qū)Y源的訪問控制權(quán)限隨容器實例遷移；d)應(yīng)實現(xiàn)審計數(shù)據(jù)留存或備份，審計數(shù)據(jù)保存時間應(yīng)符合法律法規(guī)要求。6a)應(yīng)確保容器鏡像只使用安全的基礎(chǔ)容器鏡像，僅包含必要的軟件包或組件,對不安全鏡像進(jìn)行b)應(yīng)確保容器鏡像修復(fù)超危、高危和中危網(wǎng)絡(luò)安全漏洞；e)應(yīng)統(tǒng)計和刪除容器鏡像倉庫中長期未被下載使用且存在安全風(fēng)險的鏡像；h)應(yīng)監(jiān)測容器集群內(nèi)異常流量，對異常流量告警;b)應(yīng)監(jiān)測容器實例運行過程中的惡意代碼上傳、下載、橫向b)應(yīng)在鏡像構(gòu)建配置文件中將運行用戶定義為非最高權(quán)限用戶，對未定義用戶或定義為最高權(quán)c)應(yīng)采用密碼技術(shù)或其他技術(shù)手段防止容器鏡像中可能存在的敏感資源被非法訪問。8.2安全管理中心a)應(yīng)實現(xiàn)以容器集群的方式對容器實例等資源進(jìn)行統(tǒng)一編排調(diào)度管理，并具備容器實例的故障c)應(yīng)實現(xiàn)管理平臺與業(yè)務(wù)平面的流量8.3安全建設(shè)管理b)應(yīng)將容器集群供應(yīng)鏈安全事件信息或安全威脅信息及時傳達(dá)到容器集群用戶；9第四級安全要求9.1.1身份鑒別7c)應(yīng)對容器實例的訪問請求進(jìn)行身份標(biāo)識和9.1.2訪問控制a)應(yīng)對管理平臺實現(xiàn)基于角色或更細(xì)粒度的訪問控制，支持設(shè)定不同用戶對管理b)應(yīng)實現(xiàn)對容器鏡像倉庫設(shè)定細(xì)粒度的訪問控制，支持項目級別權(quán)限控制；d)應(yīng)確保集群用戶和應(yīng)用程序?qū)Y源的訪問控制權(quán)限隨容器實例遷移；e)應(yīng)使用安全容器運行時技術(shù)實現(xiàn)內(nèi)核級別的強隔a)應(yīng)審計容器鏡像使用情況，包括鏡像上傳、鏡像下載事件，記錄訪問源IP；d)應(yīng)實現(xiàn)審計數(shù)據(jù)留存或備份，審計數(shù)據(jù)保存時間應(yīng)符合法律法規(guī)要求。9.1.4入侵防范d)應(yīng)在容器鏡像創(chuàng)建或部署過程中掃描容器鏡像漏洞，對不安全的鏡像進(jìn)行告警并e)應(yīng)統(tǒng)計和刪除容器鏡像倉庫中長期未被下載使用且存在安全風(fēng)險的鏡像；g)應(yīng)監(jiān)測對管理平臺和容器實例的攻擊行為并攔h)應(yīng)監(jiān)測容器集群內(nèi)異常流量，對異常流量攔截；9.1.5惡意代碼防范b)應(yīng)監(jiān)測容器實例運行過程中的惡意代碼上傳、下載、橫向傳播行為并攔截。9.1.6容器鏡像保護b)應(yīng)在鏡像構(gòu)建配置文件中將運行用戶定義為非最高權(quán)限用戶，禁止未定義用戶或定義為最高c)應(yīng)采用密碼技術(shù)或其他技術(shù)手段防止容器鏡像中可能存在的敏感資源被非法訪問。9.2安全管理中心9.2.1集中管控8a)應(yīng)實現(xiàn)以容器集群的方式對容器實例等資源進(jìn)行統(tǒng)一編排調(diào)度管理，并具備容器實例的故障9.3安全建設(shè)管理9.3.1供應(yīng)鏈管理b)應(yīng)將容器集群供應(yīng)鏈安全事件信息或安全威脅信息及時傳達(dá)到容器集群用戶；9A.1場景與安全要求在安全建設(shè)、整改與等級測評時應(yīng)考慮上述三種場景有不同的適用要★★b)應(yīng)對容器鏡像倉庫的訪問請求進(jìn)行身份標(biāo)識★★★★a)應(yīng)對管理平臺實現(xiàn)基于角色或更細(xì)粒度★★b)應(yīng)實現(xiàn)對容器鏡像倉庫的訪問控制，支持項★★★★★★★★★★b)應(yīng)審計管理平臺事件，包括各資源創(chuàng)建、更★★★★★★★★★★★★★★★★★★★★★★★★★★b)應(yīng)監(jiān)測容器實例運行過程中的惡意代碼上傳★★★★b)應(yīng)在鏡像構(gòu)建配置文件中將運行用戶定義為非★★★★★b)應(yīng)通過容器鏡像倉庫對容器鏡像進(jìn)行統(tǒng)一管★★★★不限于容器的CPU使用與限制信息、內(nèi)存使用★★理★★b)應(yīng)將容器集群供應(yīng)鏈安全事件信息或安全威★★A.2要求項與等級測評對象關(guān)系a)應(yīng)對管理平臺的訪問請求進(jìn)行身份標(biāo)識和鑒別★b)應(yīng)對容器鏡像倉庫的訪問請求進(jìn)行身份標(biāo)識和鑒別，★★a)應(yīng)對管理平臺實現(xiàn)基于角色或更細(xì)粒度的訪問★★c)應(yīng)實現(xiàn)多用戶場景下容器實例之間、容★★★★★b)應(yīng)審計管理平臺事件，包括各資源創(chuàng)建、更新、銷毀★★d)應(yīng)實現(xiàn)審計數(shù)據(jù)留存或備份，審計數(shù)據(jù)?！铩颽)應(yīng)確保容器鏡像只使用安全的基礎(chǔ)容器鏡像，★★★★d)應(yīng)在容器鏡像創(chuàng)建或部署過程中掃描容★★f)除基礎(chǔ)平臺組件外，應(yīng)禁止業(yè)務(wù)容器實例★★★★★★★a)應(yīng)識別容器鏡像內(nèi)的病毒、木馬等惡意代碼，★b)應(yīng)監(jiān)測容器實例運行過程中的惡意代碼上傳、下載、★★★b)應(yīng)在鏡像構(gòu)建配置文件中將運行用戶