团体标准《网络安全等级保护容器安全要求》标准解读(上)
发布时间:2023-07-03 10:30:55 浏览次数:1398 来源:公安部网络安全等级保护中心
2023年4月19日,中关村信息安全测评联盟发布《关于发布<网络安全等级保护容器安全要求>团体标准的通知》,该标准已正式发布并自2023年7月1日起实施。
为落实本标准宣贯工作,加深使用者对本标准的理解,提高检测评估认证机构检测技术水平,规范检测技术细节,现对本标准予以解读。
标准背景
随着云计算技术的发展,容器技术作为一种轻量级的应用虚拟化技术,越来越广泛地应用于云环境中。容器技术具有快速部署、高效利用资源、易于迁移和扩展等优点,为用户提供了灵活、高效、可靠的云服务。但同时,容器技术也带来了新的安全挑战,如容器镜像安全、容器实例隔离、容器集群管理、容器运行时保护等方面,都需要制定相应的安全标准和规范,以保障容器技术在云环境中的安全使用。
为了配合《中华人民共和国网络安全法》的实施,同时适应新技术、新应用情况下网络安全等级保护工作的开展,中关村信息安全测评联盟团体标准委员会制定了《网络安全等级保护容器安全要求》(以下简称本文件)。本标准将GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》的通用安全保护要求进行细化和扩展,提出容器安全保护技术要求。
本标准是网络安全等级保护相关系列标准之一,适用于在云环境中采用容器集群技术的等级保护对象的安全建设、安全整改和安全测试评估。用于指导网络建设单位、测评人员从网络安全等级保护的角度对基于容器技术的网络进行建设和测试评估。
标准意义
本标准的发布和实施,对于推动容器技术在云环境中的安全应用,提高网络安全等级保护工作的质量和水平,促进网络安全产业发展,具有重要意义。本标准将有助于:
•为在云环境中采用容器集群技术的等级保护对象提供了统一的安全标准和规范,规范了容器集群的安全建设、整改和测试评估工作;
•为网络安全监管部门提供了依据和参考,便于对采用容器集群技术的等级保护对象进行有效的监督检查和指导;
•为网络安全服务机构提供了技术支撑和方法论,提高了服务质量和能力;
•为网络安全产品厂商提供了技术需求和市场方向,促进了产品创新和升级。
标准亮点
本标准是国内首个针对容器安全的等级保护标准,具有以下特点:
•统一认知,在第 5 章节给出了容器集群概述,对保护对象的一般性抽象技术架构及各部分功能说明。
•全面覆盖容器集群的各个组成部分,包括管理平台、计算节点、操作系统、容器镜像、容器运行时、集群网络、容器实例、容器镜像仓库等,为容器集群的安全建设提供了详细的指导。
•易用性,根据之前编写等级保护标准时的经验,根据不同的部署场景和等级测评对象,给出了不同的适用要求,在附录中分别给出了 :
1.云计算不同场景下如何选择搭配安全通用要求与扩展要求(统一扩展要求选择)
2.要求项与适用场景对照表(统一要求项选择)
3.要求项与等级测评对象关系(统一标准作用对象,方便建设与测评)
标准解读
本标准规定了第一级至第四级的安全要求,其中第四级的安全要求会包含前面所有级别的安全要求,需要实现更强的身份鉴别、访问控制、审计、入侵防范、恶意代码防范、容器镜像保护等能力,接下来我们将对第四级的安全要求进行解读,并给出每条要求的含义、使用场景、评测方法、注意事项等信息。
1 安全计算环境
1.1 身份鉴别
本项要求包括:
a) 应对管理平台的访问请求进行身份标识和鉴别,并确保使用安全协议连接。
•含义:本要求是为了保证管理平台的访问者是合法授权的用户,并且使用加密传输的方式进行通信,防止身份伪造和数据泄露。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对管理平台进行身份鉴别和安全连接。
•评测方法:本要求可以通过以下方法进行评测:
–检查管理平台是否配置了身份鉴别机制,如用户名密码、数字证书、双因素认证等;
–检查管理平台是否使用安全协议连接,如HTTPS、SSH等;
–模拟非法用户或使用非安全协议访问管理平台,观察是否能够成功访问或获取敏感信息。
•注意事项:本要求需要注意以下事项:
–身份鉴别机制应根据网络等级和业务需求选择合适的方式,如第三级以上网络应使用数字证书或双因素认证等更高强度的方式;
–安全协议连接应使用符合国家标准或行业规范的加密算法和密钥长度,如不得使用已被破解或弃用的算法和密钥;
–管理平台的访问日志应保存并定期审查,发现异常访问或攻击行为时应及时响应和处置。
b) 应对容器镜像仓库的访问请求进行身份标识和鉴别,并确保使用安全协议连接。
•含义:本要求是为了保证容器镜像仓库的访问者是合法授权的用户,并且使用加密传输的方式进行通信,防止容器镜像被非法获取或篡改。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像仓库进行身份鉴别和安全连接。
•评测方法:本要求可以通过以下方法进行评测:
–检查容器镜像仓库是否配置了身份鉴别机制,如用户名密码、数字证书、双因素认证等;
–检查容器镜像仓库是否使用安全协议连接,如HTTPS、SSH等;
–模拟非法用户或使用非安全协议访问容器镜像仓库,观察是否能够成功访问或获取容器镜像。
•注意事项:本要求需要注意以下事项:
–身份鉴别机制应根据网络等级和业务需求选择合适的方式,如第三级以上网络应使用数字证书或双因素认证等更高强度的方式;
–安全协议连接应使用符合国家标准或行业规范的加密算法和密钥长度,如不得使用已被破解或弃用的算法和密钥;
–容器镜像仓库的访问日志应保存并定期审查,发现异常访问或攻击行为时应及时响应和处置。
c) 应对容器实例的访问请求进行身份标识和鉴别,并确保使用安全协议连接。
•含义:本要求是为了保证容器实例的访问者是合法授权的用户,并且使用加密传输的方式进行通信,防止容器实例被非法访问或控制。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例进行身份鉴别和安全连接。
•评测方法:本要求可以通过以下方法进行评测:
–检查容器实例是否配置了身份鉴别机制,如用 RBAC 认证等;
–检查容器实例是否使用安全协议连接,如HTTPS、SSH等;
–模拟非法用户或使用非安全协议访问容器实例,观察是否能够成功访问或控制容器实例。
•注意事项:本要求需要注意以下事项:
–安全协议连接应使用符合国家标准或行业规范的加密算法和密钥长度,如不得使用已被破解或弃用的算法和密钥;
–容器实例的访问日志应保存并定期审查,发现异常访问或攻击行为时应及时响应和处置。
1.2 访问控制
本项要求包括:
a) 应对管理平台实现基于角色或更细粒度的访问控制,支持设定不同用户对管理平台内各类资源和容器镜像资源的细粒度权限控制。
•含义:本要求是为了保证管理平台的访问者只能访问其被授权的资源和操作,防止越权访问或操作。基于角色的访问控制是指根据用户的角色或职责分配相应的权限,如管理员、开发者、运维人员等;更细粒度的访问控制是指根据用户的具体属性或条件分配相应的权限,如用户组、项目组、时间段等。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对管理平台进行访问控制。
•评测方法:本要求可以通过以下方法进行评测:
–检查管理平台是否支持基于角色或更细粒度的访问控制,如是否有角色管理、权限管理、用户管理等能力;
–检查管理平台是否支持设定不同用户对各类资源的细粒度权限控制,如是否可以对不同资源设置不同的访问或操作权限;
–模拟不同角色或属性的用户访问管理平台,观察是否能够按照预设的权限进行访问或操作。
•注意事项:本要求需要注意以下事项:
–应遵循最小权限原则,避免给予过多或不必要的权限;
–应定期审查和更新角色或用户组及其权限设置,避免权限滥用或失效;
–应根据业务需求和安全风险,合理划分不同类型和等级的资源和信息,并设定相应的访问控制策略。
b) 应实现对容器镜像仓库设定细粒度的访问控制,支持项目级别权限控制。
•含义:本要求是为了保证容器镜像仓库的访问者只能访问其被授权的容器镜像,防止越权访问或操作。项目级别权限控制是指根据容器镜像所属的项目或分类分配相应的权限,如公共项目、私有项目、敏感项目等。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像仓库进行访问控制。
•评测方法:本要求可以通过以下方法进行评测:
–检查容器镜像仓库是否支持设定细粒度的访问控制,如是否可以对不同项目或分类设置不同的访问或操作权限;
–检查容器镜像仓库是否支持项目级别权限控制,如是否可以按照项目或分类进行容器镜像管理;
–模拟不同角色或属性的用户访问容器镜像仓库,观察是否能够按照预设的权限进行访问或操作。
•注意事项:本要求需要注意以下事项:
–应遵循最小权限原则,避免给予过多或不必要的权限;
–应定期审查和更新项目、仓库、镜像及其权限设置,避免权限滥用或失效;
–应根据业务需求和安全风险,合理划分不同类型和等级的容器镜像信息,并设定相应的访问控制策略。
c) 应实现多用户场景下容器实例之间、容器与宿主机之间、容器与其他主机之间的网络访问控制。
•含义:本要求是为了保证容器实例之间、容器与宿主机之间、容器与其他主机之间的网络通信只能进行其被授权的访问或操作,防止非法访问或攻击。网络访问控制是指根据容器实例的网络属性或条件分配相应的权限,如命名空间、Pod、IP地址、端口号、协议类型等。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例进行网络访问控制。
•评测方法:本要求可以通过以下方法进行评测:
–检查容器集群是否支持设定多用户场景下的网络访问控制,如是否可以对不同用户或项目组的容器实例设置不同的网络访问策略;
–检查容器集群是否支持对容器实例之间、容器与宿主机之间、容器与其他主机之间的网络访问控制,如是否可以按照IP地址、端口号、协议类型等条件添加网络策略;
–模拟不同用户或项目组的容器实例之间、容器与宿主机之间、容器与其他主机之间进行网络通信,观察是否能够按照预设的权限进行访问或操作。
•注意事项:本要求需要注意以下事项:
–网络访问控制策略应根据网络等级和业务需求制定,遵循最小权限原则,避免过度授权或欠缺授权;
–网络访问控制策略应定期审查和更新,及时撤销或变更不再需要的权限;
–网络访问控制策略应与身份鉴别机制相配合,确保用户身份正确无误。
d) 应确保集群用户和应用程序对资源的访问控制权限随容器实例迁移。
•含义:本要求是为了保证容器实例在迁移过程中不会丢失或改变其原有的访问控制权限,防止越权访问或操作。集群用户是指在容器集群中注册或登录的用户,如管理员、开发者、运维人员等;应用程序是指在容器实例中运行的业务应用程序;资源是指容器集群中的各类资源,如计算节点、容器实例、网络规则等;容器实例迁移是指将容器实例从一个计算节点迁移到另一个计算节点的过程,通常是为了实现负载均衡、故障恢复、弹性伸缩等目的。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例迁移时的访问控制权限进行保持。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否使用专业工具确保集群用户和应用程序对资源的访问控制权限随容器实例迁移,如是否有权限管理功能模块;
–检查是否能够在容器实例迁移前后查看和比较其访问控制权限,如是否有权限展示和比较功能;
–模拟不同用户或项目组的容器实例进行迁移,观察是否能够保持其原有的访问控制权限。
•注意事项:本要求需要注意以下事项:
–容器实例迁移时的访问控制权限保持应根据网络等级和业务需求选择合适的工具和方式,遵循最佳实践和安全配置;
–容器实例迁移时的访问控制权限保持应定期检查和更新,及时修复或变更不再需要的权限;
–容器实例迁移时的访问控制权限保持应与身份鉴别机制相配合,确保用户身份正确无误。
e) 应使用安全容器运行时技术实现内核级别的强隔离。
•含义:本要求是为了保证容器实例之间、容器与宿主机之间的安全隔离,防止容器逃逸或其他攻击。安全容器运行时技术是指提供独立的操作系统内核或沙箱的容器运行时技术,如Kata Containers、gVisor、wasm 运行时等;内核级别的强隔离是指通过虚拟化技术为每个容器实例提供一个独立的内核空间或沙箱,使其与其他容器实例或宿主机完全隔离,防止互相影响或攻击。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例进行内核级别的强隔离。
•评测方法:本要求进行评测:
–检查是否使用安全容器运行时技术实现内核级别的强隔离,如是否有安全容器运行时软件和配置;
–检查是否为每个容器实例提供了一个独立的内核空间或沙箱,如是否可以查看容器实例的独立内核或沙箱信息;
–模拟攻击者从一个容器实例向其他容器实例或宿主机发起攻击,观察是否能够成功攻击或控制。
•注意事项:本要求需要注意以下事项:
–应选择符合国家有关规定和标准的安全容器运行时技术,并保持其最新版本;
–应根据业务需求和安全风险,合理选择不同类型和等级的容器运行时技术,并设定相应的配置参数;
–应监测和优化安全容器运行时技术对资源利用率和性能影响;
–应定期检查和修复安全容器运行时技术可能存在的网络安全漏洞或其他问题。
1.3 安全审计
本项要求包括:
a) 应审计容器镜像使用情况,包括镜像上传、镜像下载事件,记录访问源 IP;
•含义:本要求是为了保证容器镜像的使用情况能够被记录和追溯,防止容器镜像被非法上传或下载。审计容器镜像使用情况是指记录容器镜像的上传和下载事件,包括事件时间、事件类型、事件对象、访问源 IP 等信息。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器镜像的使用情况进行审计。
•评测方法:本要求可以通过以下方法进行评测:
–检查容器镜像仓库是否支持审计容器镜像使用情况,如是否有审计日志功能模块;
–检查容器镜像仓库是否记录了容器镜像的上传和下载事件,如是否有事件时间、事件类型、事件对象、访问源 IP 等信息;
–模拟不同用户或项目组的容器镜像上传和下载事件,观察是否能够在审计日志中查看到相应的记录。
•注意事项:本要求需要注意以下事项:
–容器镜像使用情况的审计日志应保存并定期审查,发现异常事件时应及时响应和处置;
–容器镜像使用情况的审计日志应按照法律法规要求进行留存或备份,防止丢失或篡改。
b) 应审计管理平台事件,包括各资源创建、更新、销毁等事件,支持开关内置风险策略。
•含义:本要求是为了保证管理平台的操作情况能够被记录和追溯,防止管理平台被非法操作或攻击。审计管理平台事件是指记录管理平台内各类资源(如计算节点、容器实例、网络规则等)的创建、更新、销毁等操作事件,包括事件时间、事件类型、事件主体、事件对象等信息。开关内置风险策略是指根据不同的网络等级和业务需求,开启或关闭一些预设的风险策略,如禁止特权用户运行容器实例、禁止未签名的容器镜像部署等。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对管理平台的操作情况进行审计。
•评测方法:本要求可以通过以下方法进行评测:
–检查管理平台是否支持审计管理平台事件,如是否有审计日志功能模块;
–检查管理平台是否记录了各类资源的创建、更新、销毁等操作事件,如是否有事件时间、事件类型、事件主体、事件对象等信息;
–检查管理平台是否支持开关内置风险策略,如是否可以开启或关闭一些预设的风险策略;
–模拟不同用户或项目组对各类资源进行创建、更新、销毁等操作事件,观察是否能够在审计日志中查看到相应的记录。
•注意事项:本要求需要注意以下事项:
–管理平台事件的审计日志应保存并定期审查,发现异常事件时应及时响应和处置;
–管理平台事件的审计日志应按照法律法规要求进行留存或备份,防止丢失或篡改;
–开关内置风险策略应根据网络等级和业务需求选择合适的方式,遵循最小风险原则,避免过度放松或过度限制。
c) 应审计容器实例事件,包括进程、文件、网络等事件。
•含义:本要求是为了保证容器实例的操作情况能够被记录和追溯,防止容器实例被非法操作或攻击。容器实例事件是指在容器实例中发生的影响其运行状态或资源消耗的操作或行为,如进程启动、文件修改、网络连接等;审计容器实例事件是指记录容器实例事件的相关信息,如事件时间、事件类型、安全状态等。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对容器实例的操作情况进行审计。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否使用专业工具审计容器实例事件,如是否有审计日志功能模块;
–检查是否记录了容器实例的进程、文件、网络等事件,如是否有事件时间、事件类型、安全状态等信息;
–模拟不同用户或项目组对容器实例进行操作或攻击,观察是否能够在审计日志中查看到相应的记录。
•注意事项:本要求需要注意以下事项:
–容器实例事件的审计日志应保存并定期审查,发现异常事件时应及时响应和处置;
–容器实例事件的审计日志应按照法律法规要求进行留存或备份,防止丢失或篡改;
d) 应实现审计数据留存或备份,审计数据保存时间应符合法律法规要求。
•含义:本要求是为了保证审计数据的安全性和可用性,防止审计数据被丢失或篡改。审计数据是指记录管理平台、容器镜像仓库、容器实例等各类资源的使用和操作情况的数据;审计数据留存或备份是指将审计数据保存在安全可靠的存储介质中,并按照一定的周期进行更新或复制的过程;审计数据保存时间是指根据法律法规要求或业务需求确定的审计数据需要保存的最短时间。
•使用场景:本要求适用于所有采用容器集群技术的等级保护对象,无论是公有云、私有云还是物理机部署的容器集群,都需要对审计数据进行留存或备份。
•评测方法:本要求可以通过以下方法进行评测:
–检查是否使用专业工具实现审计数据留存或备份,如是否有存储介质和备份策略;
–检查是否按照法律法规要求或业务需求确定了审计数据保存时间,如是否有保存时间设置;
–模拟攻击者删除或修改审计数据,观察是否能够从存储介质中恢复或还原。
•注意事项:本要求需要注意以下事项:
–审计数据留存或备份应根据网络等级和业务需求选择合适的工具和方式,遵循最佳实践和安全配置;
–审计数据留存或备份应定期检查和更新,及时发现和处理异常情况;
–审计数据留存或备份应与身份鉴别机制相配合,确保只有授权用户才能访问或操作审计数据。
关键字: 等级保护