《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > 美國政府發(fā)布容器安全指南,聯(lián)邦機構(gòu)需在半年內(nèi)全部合規(guī)

美國政府發(fā)布容器安全指南,聯(lián)邦機構(gòu)需在半年內(nèi)全部合規(guī)

2021-03-24
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 美國政府 容器安全

  3月16日,美國聯(lián)邦風(fēng)險和授權(quán)管理計劃(Federal Risk and Authorization Management Program,簡稱FedRAMP)發(fā)布了文檔《容器漏洞掃描要求》(FedRAMP Vulnerability Scanning Requirements for Containers),,通過描述“使用容器技術(shù)的云系統(tǒng)漏洞掃描的特定流程、架構(gòu)和安全考慮”,確保云服務(wù)提供商(CSP)保持其容器技術(shù)合規(guī),,彌補了傳統(tǒng)云系統(tǒng)和容器化云系統(tǒng)之間的合規(guī)差距。

  ONE

  一,、背景

  FedRAMP是一個政府范圍內(nèi)的計劃,,為云產(chǎn)品和服務(wù)的安全評估,、授權(quán)和持續(xù)監(jiān)控(ConMon)提供了標準化方法。通過向聯(lián)合授權(quán)委員會(JAB)和機構(gòu)授權(quán)官員(AO)提供有關(guān)系統(tǒng)安全態(tài)勢變化的深入見解,,ConMon確保云服務(wù)系統(tǒng)商持續(xù)保障FedRAMP授權(quán)系統(tǒng)的安全,。隨著技術(shù)日新月異,云服務(wù)提供商也在不斷發(fā)展以改善和適應(yīng)客戶的需求,。某些技術(shù)變化會影響ConMon的執(zhí)行方式,。

  本文件補充并更新了《FedRAMP持續(xù)監(jiān)控策略指南》(FedRAMP Continuous Monitoring Strategy Guide)和《FedRAMP漏洞掃描要求》(FedRAMP Vulnerability Scanning Requirements)中定義的現(xiàn)有要求,介紹了FedRAMP在使用容器技術(shù)的云系統(tǒng)漏洞掃描中需要遵循的流程,,架構(gòu)及安全考慮等方面的特定合規(guī)要求,。

  TWO

  二、容器技術(shù)的特點和風(fēng)險

  容器技術(shù)可以部署在裸機或虛擬機上,、本地自建系統(tǒng)或彈性云環(huán)境中,。通常使用各種容器編排工具來實現(xiàn)大規(guī)模的分布式容器的部署和管理。以下是容器技術(shù)的常見特征:

  容器啟動的應(yīng)用程序及其依賴庫與其他進程相隔離

  容器具有獨立于主機的網(wǎng)絡(luò)連接

  容器具有彈性,,偶爾具有臨時性

  容器是不可變的,,升級操作發(fā)生在安全預(yù)發(fā)布環(huán)境中的源鏡像上,升級容器指的是銷毀現(xiàn)有容器并將其替換為新容器

  與使用容器化技術(shù)有關(guān)的重要風(fēng)險和威脅包括:

  未經(jīng)驗證的外部軟件

  非標準配置

  未受監(jiān)控的容器間的通信

  未被跟蹤的臨時實例

  未經(jīng)授權(quán)的訪問

  Registry/Repository倉庫中毒

  非托管的Registry/Repository倉庫

  本文件中列出的安全要求有助于云服務(wù)提供商在遵從FedRAMP合規(guī)要求的同時充分利用容器技術(shù),。以下安全要求的目的是確保與使用容器技術(shù)有關(guān)的風(fēng)險(包括但不限于以上要點形式列出的)即使沒有被解決,,至少得到緩解。雖然這些要求廣泛適用,,但FedRAMP也認識到某些具體實現(xiàn)可能需要采取其他替代措施來應(yīng)對風(fēng)險,。

  THREE

  三、使用容器技術(shù)的系統(tǒng)掃描要求

  《FedRAMP持續(xù)監(jiān)控策略指南》,、《FedRAMP低度,、中度和高度安全控制基線》以及《FedRAMP漏洞掃描要求》文件中概述了現(xiàn)有的掃描要求,以下要求是補充性的,,適用于所有實施容器技術(shù)的系統(tǒng),。

  1.鏡像加固

  云服務(wù)提供商必須僅使用鏡像經(jīng)過加固的容器。加固須符合美國國家標準和技術(shù)研究所(NIST)國家核對清單項目(National Checklist Program)中列出的相關(guān)基準以及NIST SP 800-70的規(guī)定,。最終配置必須由第三方評估機構(gòu)(3PAO)驗證,,未加固鏡像或通用鏡像不得在授權(quán)邊界內(nèi)使用。

  2.容器構(gòu)建,、測試和編排管道

  云服務(wù)提供商必須利用自動化容器編排工具來構(gòu)建,、測試和部署容器到生產(chǎn)環(huán)境中。這些自動化工具必須經(jīng)過第三方評估機構(gòu)的驗證,。非自動化流程不應(yīng)作為容器測試和編排流程的一部分,,除非是出于質(zhì)量審查目的而有意進行手動操作。

  3.容器鏡像漏洞掃描

  在將容器部署到生產(chǎn)中之前,云服務(wù)提供商必須確保按照FedRAMP漏洞掃描要求文件中的規(guī)定掃描容器鏡像的所有組件,。在可能的情況下,,容器編排流程應(yīng)將掃描作為部署管道的步驟之一。此外,,除非通過獨立的安全傳感器,,不建議直接在部署到生產(chǎn)環(huán)境的容器上執(zhí)行漏洞掃描。

  4.安全傳感器

  可在生產(chǎn)環(huán)境的容器旁部署獨立的安全傳感器,,以持續(xù)盤點和評估云服務(wù)提供商的安全態(tài)勢,。獨立部署使安全傳感器可以在各個容器之間保持廣泛的可見性。安全傳感器應(yīng)以足夠的權(quán)限運行,,以避免缺乏可見性和產(chǎn)生誤報,。

  5. Registry監(jiān)控

  容器鏡像倉庫(registry)必須對每個單獨的鏡像進行監(jiān)測,以確保在30天漏洞掃描窗口內(nèi)未掃描的鏡像所對應(yīng)的容器沒有被主動部署到生產(chǎn)環(huán)境中,。由于容器鏡像倉庫本身通常不是一個策略控制點,,這個過程可以通過通知操作員或其他控制機制的警報來管理,以防止未經(jīng)授權(quán)的部署,。

  6.已部署容器的資產(chǎn)管理和庫存報告

  為了識別與該容器相關(guān)聯(lián)的生產(chǎn)環(huán)境上的相關(guān)漏洞總數(shù),,必須為與一個或多個容器相對應(yīng)的每一類鏡像分配一個唯一的資產(chǎn)標識符,以便自動化系統(tǒng)能夠確保每個生產(chǎn)部署的容器與源鏡像相對應(yīng),。

  FOUR

  四,、過渡計劃

  如果適用,每個利用容器技術(shù)的FedRAMP系統(tǒng)都有1個月的時間提交過渡計劃,,并在本文件發(fā)布之日起6個月內(nèi)過渡到完全合規(guī),。

  如果無法全面實施,云服務(wù)提供商須與其授權(quán)官員合作制定緩解計劃,。行政機關(guān)須審查和批準云服務(wù)提供商的緩解計劃,。對于具有聯(lián)合授權(quán)委員會臨時操作授權(quán)(JAB P-ATO)的系統(tǒng),云服務(wù)提供商應(yīng)將緩解計劃發(fā)布到FedRAMP鏡像倉庫(FedRAMP repository),,并發(fā)送電子郵件通知到[email protected],,或與其FedRAMP聯(lián)絡(luò)人(FedRAMP POC)討論備選方案。當(dāng)前任何由機構(gòu)授權(quán)官員授權(quán)的云服務(wù)提供商都需要與其授權(quán)官員咨詢協(xié)商,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected]