天融信云原生容器安全方案,全面满足等保新要求
4月19日,中关村信息安全测评联盟发布《网络安全等级保护容器安全要求》团体标准,7月1日,该标准已正式实施。天融信结合多年云安全积累经验对该标准进行详细解读。
鉴于等保2.0云等保仅适用于虚拟机环境,无法应对容器技术引入的新安全风险,因此需要对容器应用场景提出补充安全要求,以指导网络建设单位和测评人员,在网络安全等级保护为基础上,对基于容器技术的网络进行建设和评估。为了配合《中华人民共和国网络安全法》的实施,同时适应新技术、新应用情况下网络安全等级保护工作的开展,中关村信息安全测评联盟制定了《网络安全等级保护容器安全要求》团体标准。
该标准规定了第一级至第四级的安全要求,第四级分为3大类、8项控制点和33项安全要求,包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、容器镜像保护等能力要求。天融信根据第四级安全要求进行解读并进行责任划分,其中一部分安全要求需要云厂商具备相应的安全能力,而另一部分则需要安全厂商具备相应能力。以下是天融信对安全厂商部分安全要求的解读以及相应的解决方案。
|
安全 控制点 |
第四级安全要求 |
天融信解决方案 |
|
访问控制 |
c) 应实现多用户场景下容器实例之间、容器与宿主机之间、容器与其他主机之间的网络访问控制。 |
采用容器防火墙工具为不同租户提供网络控制服务。 |
|
入侵防范 |
a) 应确保容器镜像只使用安全的基础容器镜像,仅包含必要的软件包或组件,对不安全镜像进行告警,并实现拦截; |
采用镜像软件成分分析工具及基础镜像管理工具对不安全的镜像进行告警。 |
|
b) 应确保容器镜像修复超危、高危、中危及低危网络安全漏洞; |
采用镜像扫描工具,检容器镜像软件漏洞,并给出修复建议。 |
|
|
c) 应确保容器镜像内不包含敏感信息、SSH等证书文件,环境变量中不包含用户名密码; |
采用镜像扫描工具检查容器镜像敏感信息。 |
|
|
d) 应在容器镜像创建或部署过程中扫描容器镜像漏洞,对不安全的镜像进行告警并阻断创建或部署流程; |
采用镜像扫描工具和镜像准入工具对带有漏洞的镜像启动进行阻断和告警。 |
|
|
e) 应统计和删除容器镜像仓库中长期未被下载使用且存在安全风险的镜像; |
采用镜像安全管理可视化分析工具分析出不常使用且带有漏洞镜像并给出处理建议。 |
|
|
f) 除基础平台组件外,应禁止业务容器实例使用特权用户和特权模式运行,并对特权用户运行容器行为进行告警并拦截; |
采用镜像准入工具限制采用特权用户和特权模式运行容器实例。 |
|
|
g) 应监测对管理平台和容器实例的攻击行为并拦截; |
采用入侵检测工具检测容器云管理平台和容器实例是否受到攻击。 |
|
|
h) 应监测容器集群内异常流量,对异常流量拦截; |
采用容器防火墙工具对集群内的网络通信异常流量进行检测和拦截。 |
|
|
i) 应对失陷容器进行响应处置,例如关闭或隔离容器。 |
采用安全隔离工具,对失陷的容器进行安全隔离。 |
|
|
恶意代码防范 |
a) 应识别容器镜像内的病毒、木马等恶意代码,对危险容器镜像告警并阻止该镜像加入容器仓库; |
采用镜像扫描工具,对容器节点和镜像仓库中的容器镜像进行恶意代码扫描。 |
|
b) 应监测容器实例运行过程中的恶意代码上传、下载、横向传播行为并拦截。 |
采用容器运行时恶意代码监测工具,对容器运行时产生的恶意代码进行检测并拦截。 |
|
|
集中管控 |
c) 应实现管理平台与业务平面的流量分离。 |
采用容器防火墙工具对管理平面和业务平面网络进行逻辑隔离。 |
(上下滑动查看更多)
天融信云原生容器安全防护系统解决方案
面向云原生应用场景,天融信推出了云原生容器安全防护系统解决方案,可满足《网络安全等级保护容器安全要求》中对容器环境安全能力的要求。同时,该方案可助力政企客户建立全生命周期的容器安全防护,防范容器技术引入的镜像投毒、容器逃逸、横向渗透等安全风险。天融信云原生容器安全防护系统解决方案以容器环境安全、容器镜像安全、容器网络安全和工作负载安全四个维度为切入点,从事前、事中、事后三个阶段建立安全防线,确保容器环境中业务系统的安全可靠运行。
事前安全防范
天融信云原生容器安全防护系统解决方案通过容器镜像扫描功能,深度扫描容器镜像中的系统漏洞、应用软件漏洞、病毒木马以及敏感信息等,帮助客户发现不安全镜像,并通过容器启动保护功能禁止不安全镜像启用,从源头上解决容器镜像安全问题。同时,该方案可通过系统中的安全基线检查功能对容器环境进行安全配置检查,及时发现不规范的容器环境配置,并给出相应修复方案,帮助客户解决配置不规范引发的非必要的端口和服务暴露等安全隐患。
事中持续威胁检查
天融信云原生容器安全防护系统提供多种安全机制保障工作负载的安全——容器逃逸防护功能可检测和分析工作负载运行过程中的异常挂载宿主机目录、违规进程调用和违规系统操作等问题;入侵检测功能可保障工作负载对外提供的服务应用的安全性。天融信云原生安全防护系统解决方案通过多重安全机制的联合防护,帮助客户有效解决工作负载运行时面临的容器逃逸等问题。
事后及时调查响应
天融信云原生容器安全防护系统解决方案可通过安全审计和可视化图表对安全事件作进一步的分析,快速定位攻击源,同时可联动微隔离功能实现以单个容器为独立体的全方位控制,减少隔离容器之间不必要的网络连接,从而避免非必要端口的暴露。
容器技术作为一种轻量级的应用虚拟化技术,已经越来越广泛地应用于云环境中,随着云计算相关技术与应用的不断成熟,越来越多的企业客户将在数字化转型中选择容器以及相关的云原生应用。天融信始终以捍卫国家网络空间安全为己任,积极布局云原生安全领域,立足客户安全需求不断创新产品与服务,为企业数字化转型保驾护航。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
- 上周热门
- 如何使用 StarRocks 管理和优化数据湖中的数据? 2969
- 【软件正版化】软件正版化工作要点 2888
- 统信UOS试玩黑神话:悟空 2860
- 信刻光盘安全隔离与信息交换系统 2746
- 镜舟科技与中启乘数科技达成战略合作,共筑数据服务新生态 1280
- grub引导程序无法找到指定设备和分区 1249
- 华为全联接大会2024丨软通动力分论坛精彩议程抢先看! 169
- 2024海洋能源产业融合发展论坛暨博览会同期活动-海洋能源与数字化智能化论坛成功举办 169
- 点击报名 | 京东2025校招进校行程预告 165
- 华为纯血鸿蒙正式版9月底见!但Mate 70的内情还得接着挖... 161
- 本周热议
- 我的信创开放社区兼职赚钱历程 40
- 今天你签到了吗? 27
- 信创开放社区邀请他人注册的具体步骤如下 15
- 如何玩转信创开放社区—从小白进阶到专家 15
- 方德桌面操作系统 14
- 我有15积分有什么用? 13
- 用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
- 如何让你先人一步获得悬赏问题信息?(创作者必看) 12
- 2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
- 中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8
