T/ISEAA 004-2023 网络安全等级保护容器安全要求

ICS35040

CCSL.80

团体标准

T/ISEAA004—2023

网络安全等级保护容器安全要求

Containersecurityrequirementforclassifiedprotectionofcybersecurity

2023-04-19发布2023-07-01实施

中关村信息安全测评联盟发布

中国标准出版社出版

T/ISEAA004—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

容器集群及风险概述

5……………………2

第一级安全要求

6…………………………4

第二级安全要求

7…………………………5

第三级安全要求

8…………………………6

第四级安全要求

9…………………………8

第五级安全要求

10…………………………9

附录资料性容器安全场景与安全要求的选择和使用

A()……………10

场景与安全要求

A.1…………………10

要求项与等级测评对象关系

A.2……………………13

参考文献

……………………16

Ⅰ

T/ISEAA004—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件由中关村信息安全测评联盟团体标准委员会提出并归口

。

本文件起草单位公安部第三研究所公安部网络安全保卫局北京小佑网络科技有限公司深信服

:、、、

科技股份有限公司阿里云计算有限公司广西网信信息技术有限公司安徽省电子产品监督检验所安

、、、(

徽省信息安全测评中心北京升鑫网络科技有限公司华为技术有限公司中移动信息技术有限公司

)、、、、

杭州默安科技有限公司北京经济管理职业学院

、。

本文件主要起草人张振峰祝国邦范春玲刘静江雷陈广勇李明袁曙光白黎明刘斌杨杜卿

:、、、、、、、、、、、

伊玮珑冯伟王理冬陈妍张艳王明亮何坤鹏李京儒胡俊黄敏刘剑波孙海青沈锡镛袁礼

、、、、、、、、、、、、、。

Ⅲ

T/ISEAA004—2023

引言

为了配合中华人民共和国网络安全法的实施同时适应新技术新应用情况下网络安全等级保护

《》,、

工作的开展制定本文件本文件将信息安全技术网络安全等级保护基本要

,。GB/T22239—2019《

求的通用安全保护要求进行细化和扩展提出容器安全保护技术要求

》,。

本文件是网络安全等级保护相关系列标准之一

。

与本文件相关的标准包括

:

信息安全技术网络安全等级保护基本要求

———GB/T22239—2019。

信息安全技术网络安全等级保护定级指南

———GB/T22240—2020。

本文件为评价网络是否符合信息安全技术网络安全等级保护基本要求提

GB/T22239—2019《》

供了额外的扩展要求用于指导网络建设单位测评人员从网络安全等级保护的角度对基于容器技术的

,、

网络进行建设和测试评估

。

本文件中黑体字部分表示较高等级中增加或增强的要求

,。

Ⅳ

T/ISEAA004—2023

网络安全等级保护容器安全要求

1范围

本文件规定了在云环境中采用容器集群技术的等级保护对象的安全要求包括第一级至第四级网

,

络的要求

。

本文件适用于在云环境中采用容器集群技术的等级保护对象的安全建设安全整改和安全测试评

、

估网络安全监管部门依法对采用容器集群技术的等级保护对象监督检查可参照使用

。。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069

信息安全技术网络安全等级保护测评要求

GB/T28448—2019

信息安全技术网络安全漏洞标识与描述规范

GB/T28458—2020

信息安全技术网络安全漏洞分类分级指南

GB/T30279—2020

3术语和定义

界定的以及下列术语和定义

GB/T25069、GB/T22239、GB/T28448、GB/T28458、GB/T30279

适用于本文件

。

31

.

容器镜像containerimage

包含运行容器所需的所有软件的包文件

。

32

.

容器实例containerinstance

在应用虚拟化环境中运行的容器镜像的具体对象

。

33

.

容器集群containercluster

采用集群编排工具统一管理的若干个宿主机形成的计算架构

。

34

.

容器镜像仓库containerimagerepository

用于容器镜像分类标记存储下载和版本控制的服务组件

、、、。

35

.

弹性伸缩autoscaling

根据用户的业务需求和预设策略自动调整计算资源使计算节点数量随业务负载需求自动变化的

,,

特性

。

1

T/ISEAA004—2023

36

.

容器逃逸containerescape

从容器内部通过特权配置或者利用网络安全漏洞突破限制获取到宿主机的权限和资源的攻击

手段

。

37

.

反弹shellreverseshell

从被控端口发起请求到控制端监听端口并将其命令行输入输出内容转到控制端的网络攻击行为

,。

38

.

容器运行时containerruntime

用于保障容器实例运行机制符合特定规范的一组软件集合

。

39

.

安全容器运行时securecontainerruntime

提供独立的操作系统内核以及虚拟化层的容器运行时

。

310

.

失陷容器intrudedcontainer

已被攻击者入侵和控制的容器

。

311

.

环境变量environmentvariables

包含关于系统及当前登录用户的环境信息的字符串

。

4缩略语

下列缩略语适用于本文件

。

开放容器标准

OCI:(OpenContainerInitiative)

互联网数据中心

IDC:(InternetDataCenter)

分布式键值存储数据库

ETCD:

5容器集群及风险概述

51容器集群架构

.

容器集群是指采用编排软件来统一管理容器形成的集群容器集群通常由管理平台计算节点操

,、、

作系统容器镜像容器运行时集群网络容器实例容器镜像仓库构成对于未采用集群编排软件进

、、、、、。

行统一管理只是将容器作为虚拟化技术使用的场景不适用于本文件

,,。

图给出了容器集群的架构模型

1。

2

T/ISEAA004—2023

图1容器集群架构

52容器集群组件

.

容器集群组件包括

:

管理平台是用于控制计算节点的管理节点所有任务分配都来自于管理平台容器集群提供

a)。,

了一个全局的管理界面是由相关的管理组件组合共同提供能力如集群有

,,Kubernetes:

服务器核心控制器调度器等核心组件这些管理组件如果配置不当或者

API、DNS、、、ETCD,

出现软件漏洞可能会导致整个集群出现安全风险

。

计算节点是负责执行请求和所分配任务的物理机或者虚拟机由管理平台负责对计算节点进

b),

行控制每个计算节点上存在容器镜像容器运行时集群网络容器实例等多个角色

。、、、。

容器运行时是为了运行容器实例每个计算节点都需要安装一个容器运行时引擎比如

c),。

但也支持其他符合标准的容器运行时例如和

Docker,KubernetesOCI,ContainerdCRI-O。

容器镜像负责给容器实例提供一个虚拟的文件系统所有需要运行的容器镜像都必须先下载

d),

到计算节点上如果容器镜像中有软件漏洞或者恶意文件可能会导致容器实例出现安全风

,

险所有容器镜像相关的检测项就是对容器镜像做检查

,。

容器镜像运行后即是容器实例容器实例负责给对应的进程提供一个虚拟的操作系统环境如

e),,

果容器实例本身配置不当或者容器实例中有恶意命令执行可能会导致计算节点或者其他容器

实例出现安全风险所有容器实例相关的检测项就是对容器实例做检查

,。

容器实例所依赖的容器镜像会集中存储于容器镜像仓库中如果容器镜像仓库出现配置不当

f),

或者软件漏洞可能会导致镜像被恶意篡改所有容器镜像仓库相关的检测项就是对容器镜像

,

仓库做检查

。

53容器集群应用场景

.

根据容器集群的部署位置不同又分为公有容器集群物理机部署的私有容器集群和私有云部署的

,、

私有容器集群三种场景通常公有容器集群场景是指用户采用公有云服务商提供的云主机作为部署容

。

器集群的基础设施或直接采用公有云服务商提供的容器集群托管业务物理机部署的私有容器集群

,。

是指用户在机房使用物理机自建的容器集群私有云部署的私有容器集群是指用户在自建

IDC。IDC

机房的私有云之上部署的容器集群

。

3

T/ISEAA004—2023

6第一级安全要求

61安全计算环境

.

611身份鉴别

..

本项要求包括

:

应对管理平台的访问请求进行身份标识和鉴别

a);

应对容器镜像仓库的访问请求进行身份标识和鉴别

b);

应对容器实例的访问请求进行身份标识和鉴别

c)。

612访问控制

..

本项要求包括

:

应对管理平台实现基于角色的访问控制

a);

应实现对容器镜像仓库访问控制

b);

应实现容器实例之间的网络访问控制

c);

应确保集群用户对资源的访问控制权限随容器实例迁移

d);

应实现容器实例对宿主机资源的访问控制

e)。

613入侵防范

..

本项要求包括

:

应确保容器镜像仅包含必要的软件包或组件

a);

应确保容器镜像中的软件修复超危和高危网络安全漏洞

b);

应在容器镜像创建或部署过程中扫描容器镜像漏洞

c);

除基础平台组件外应禁止业务容器实例使用特权用户和特权模式运行

d),。

614恶意代码防范

..

本项要求包括

:

应识别容器镜像内的病毒木马等恶意代码

a)、;

应监测容器实例运行过程中的恶意代码

b)。

615容器镜像保护

..

应对容器镜像完整性进行校验

。

62安全管理中心

.

621集中管控

..

本项要求包括

:

应实现以容器集群的方式对容器实例等资源进行统一编排调度管理

a);

应通过容器镜像仓库对容器镜像进行集中管理

b);

应对容器实例的各项性能指标进行集中监控

c)。

63安全建设管理

.

631供应链管理

..

应确保容器集群技术供应商的选择符合国家有关规定

。

4

T/ISEAA004—2023

7第二级安全要求

71安全计算环境

.

711身份鉴别

..

本项要求包括

:

应对管理平台的访问请求进行身份标识和鉴别并确保使用安全协议连接

a),;

应对容器镜像仓库的访问请求进行身份标识和鉴别并确保使用安全协议连接

b),;

应对容器实例的访问请求进行身份标识和鉴别并确保使用安全协议连接

c),。

712访问控制

..

本项要求包括

:

应对管理平台实现基于角色的访问控制

a);

应实现对容器镜像仓库访问控制

b);

应实现多用户场景下容器实例之间的网络访问控制

c);

应确保集群用户对资源的访问控制权限随容器实例迁移

d);

应实现容器实例对宿主机资源的访问控制

e)。

713安全审计

..

本项要求包括

:

a应审计容器镜像使用情况包括镜像上传镜像下载事件

),、;

b应审计管理平台事件包括各资源创建更新销毁等事件

),、、;