实现安全应用容器架构的最佳实践

目录介绍 8目的和范围 8文档结构 8读者 8应用容器 9应对应用容器挑战的缓解措施 14跨环境的代码提升 14主机安全 15平台或宿主机侧的容器持续监控 17容器网络-宿主机与容器通信 18容器网络-容器间的通信 18验证镜像的完整性和安全性 19容器取证 21跨容器的信任链 22容器卷管理 24容器秘密（Sere）管理 26平台管理生命周期事件通知 27平台管理资源请求 27平台管理容器资源管理 28容器管理容器资源伸缩 28容器管理数据备份与复制 29容器管理不同容器管理平台主机间容器迁移 31容器加密 31附录A缩略语 33附录B词汇表 34附录C参考 36内容提要TP808用DvO件T81值求。应用。富和。介绍目的和范围括Dv，。。文档结构：器践词表表读者系。微Dv)。化()。应用容器有。战。1践..1跨环境（开发、质量保证、测试、生产）的代码提升视角最佳实践开发者应该建立信任基本源。 开发者运营者应利用容器管理平台安全地跨环境移镜像。

运营者..2主机安全必须通过容器技术（例如标签）记录多租户敏感数据需求，允许自动化部署和审计容器。

运营者容器运行时与远程服（容器仓库容器编排间必须使用加密通信。

运营者除非绝对必要，容器不能运行在特权模式下。 运营者除非绝对必要，容器运行时仅允许容器内部载数据卷（例如不挂载proc、tc、运行时接字等）。

运营者用户应移除所有功能仅显式保留进程必需项使用白名单而非黑名单机制。

运营者..3平台或宿主机侧的容器持续监控开发者需要使用清晰的版本模式识别运行容器 开发者中的应用程序版本。运营者应配置容器运行时向中心化日志系统输日志。

运营者对于运营者，监控服务的容器不能运行在特模式下，也不能访问宿主机。

运营者..4容器网络：宿主机与容器通信建议应用程序使用安全的网络通信协议。 开发者运营运营者应提供鉴别和鉴权的基础设施。 运营者运营者应提供网络监控的基础设施。 运营者..5容器网络：容器间通信应用程序必须使用安全的网络通信协议。 开发者运营运营者必须提供鉴别和鉴权的基础设施。 运营者运营者必须提供网络监控的基础设施。 运营者运营者必须使用容器化解决方案支持不同粒的开放服务访问控制。

运营者..6验证镜像的完整性和安全性开发者应在镜像构建过程中对镜像签名，并使用前验证镜像。

开发者开发者应在开发过程中使用漏洞扫描工具。 开发者运营开发者应在镜像中仅包含必要的组件。 开发者运营者应在基础设施设计中确保仅允许使用签名和已验证的镜像。

运营者运营者应在基础设施设计中保障可持续识别新 运营者公布的漏洞。..7容器取证对于新应用程序，开发者应在计划和设计阶建立和保持包含日志功能在内的编码策略。

开发者对于现有应用程序，开发者应实现捕获应用序日志（从鉴别日志开始）的计划。

运营者运营者应将容器环境的取证功能引入规划。 运营者对于新的基础设施，运营者应实现规划好的证功能。

运营者对于现有的基础设施运营者应从捕获数（网络流量、磁盘和内存数据）开始，迭代输新的功能。

运营者..8跨容器信任链开发者应确保镜像签名是构建镜像过程的一分，并在使用前验证镜像。

开发者运营者开发者应在开发过程中使用漏洞扫描工具 开发者运营开发者应确保在镜像中仅包含必要的组件。 开发者运营者应根据..6(验证镜像的完整性和安全性的建议设计镜像完整性校验漏洞扫描修补漏洞的基础设施。

运营者运营者应使用安全加固过的、安全配置过容引擎的可信宿主机存储镜像或运行容器。

运营者运营者应使用鉴别和鉴权机制（即双向认证LS确保容器间容器与管理平台间的可通信。

运营者运营者应基于用户角色限制容器和镜像的访问。

运营者运营者应监控容器配置参数和运行时的完整性。

运营者..9容器卷管理开发者应得到足够的培训，确保开发应用程时尽可能不出现使用共享容器卷和非必要的主机目录访问。

开发者运营者应提供支持资源管理、访问控制和监容器卷的基础设施。

运营者运营者应提供隔离不同用户和不同应用程序网络通信的基础设施。

运营者运营者应提供接口支持同一实（如工作负载的容器间通信。

运营者..0容器密钥管理为开发者提供培训和最佳实践指南。 开发者为开发者建立通用软件库，处理后端应用程代码中的敏感数据和密钥。

开发者运营者应通过集成部署工具或脚本，以及容编排工具设计密钥管理架构。

运营者..1平台管理—生命周期事件通知容器的生命周（启动/停止/扩展由MP管理从开发者视角，如果容器化的应用程序无法感知容器的状态变化，应用程序将会处于非安全状态。

开发者..2平台管理—资源请求开发者应通过平衡系统资源，确保可持续的统性能。

开发者在多租户的环境中，运营者应确保平衡的资占用。

开发者在多租户的环境中，运营者应确保MP优化群的资源消耗。

运营者..3平台管理—容器资源管理运营者应找到和实现MP与单个应用程序资管理目标间可接受的平衡。

运营者..4容器管理—扩展容器资源当建立容器部署配置时，开发者应利用MP资源控制特性，协调容器内部资源利用率、先级和分配阈值。

开发者运营者需要与开发者协作以理解容器化应用序的资源需求，合理设置约束，监控可能的能挑战。

运营者..5容器管理—数据备份和复制运营者必须确保数据备份系统可以在容器销前备份容器中的任何新数据。

运营者..6容器管理—MP间的容器重部署对于使用敏感数据的传统应用程序的运营者说，需要建立和管理容器在重新部署状态下自动导出和导入敏感数据的机制。

运营者..7容器加密开发者与运营者应一致使用标准、通用的身鉴别系统。

开发者运营者开发者需要识别可使用的静态数据解决方案考虑该方案是否已被一个公正的第三方验证以及该方案是否在期望的运行环境中可行。

开发者开发者应加密敏感的应用程序，然后建立容器入（ntrypon应用程序解密和执行主程序

开发者应对应用容器挑战的缓解措施跨环境的代码提升缓：根P可P器。的。P一用。镜。理M能。证。行。M们了otoftt源。主机安全：如计。标些。M保。宿。。资；。容M这。。。种M。及权。数/c/t、。主种。得。单。Lxot的。oLxot可。到上耗。平台或宿主机侧的容器持续监控。器本一器。志故M后。必日。会。存。机。以权可或访。。要ot。当。容器网络-宿主机与容器通信：议L/LPe)理。内。施取。TL制RLP。施的。的。容器网络-容器间的通信：议L/LPe)的。信。施取。tetcoT参totLPR提。施的。求网。etw期。。解。验证镜像的完整性和安全性：使像像P。据。具到程。为知。件件。少。签。织运。之。公。像，如。。扫器的。容器取证：范录能计。了。始划中。了。划的、。用。证力响。能暴。（开力。。能失。跨容器的信任链：分像像P。。生。具建该。为知。件镜。洞。础31整议镜器置只望。露。于L及任TL。。。问器。性进性配。容器卷管理：序器录卷施：源源源障源源源源源管：卷…x）限：：储卷：…））…））…x）x）的。量施横。，网信实。应。容器秘密（Secret）管理：导获秘。务类。码密库。安，。排构排自K密）。元MK。态库。平台管理-生命周期事件通知：1.始C看化序态M决释。确闭平台管理-资源请求：系能基。衡议(L)。。保CP耗。平台管理-容器资源管理：1.在CP可。MP的LA。MP。时可。容器管理-容器资源伸缩：用其CP器值计在免。试就的MP资。资性战。个P和O。，Q内。容器管理-数据备份与复制：任份。用并/销数。：恢而何。的署。。eceeeecyets幂(eotcy备。实来赖WebWR量R序署。。可误P应。：应。。态，，。运序能：。包模co。W有工要。容器管理-不同容器管理平台主机间容器迁移行：1.一这或据的要。全手一。容器加密：权统力加。A否期作PS10D序PKP容K。E。程点序共密。附录A-缩略语下虚虚拟机M安全套接字层L服务水平协议LA基于角色的访问控制AC操作系统OS密钥管理系统MS身份管理与访问控制IAM硬件安全模块HM云服务提供商P容器管理平台MP应用容器和微服务AM附录B-词汇表应用容器应用容器是一种在共享操作系统上打包和运营应用或其组件架构。应用应用容器与其他应用容器隔离，并共享底层操作统的资源，从而允许在不同的云之间高效重启、纵向扩展或向扩展应用程序。应用容器通常包含微服务。容器管理平台是一个应用程序，旨在管理容器及其各种操作包括但不限于部署、配置、调度和销毁。容器生命周期中的主要事件是创建容器运行容器暂停容器、取消暂停容器、启动容器、停止容器、重启容器、杀死容器、销毁容器。云服务开发者是云服务合作伙伴的子角色，负责设计、开发测试和维护云服务的实施。这可能涉及从现有服务实施完成前服务的实施。云服务开发者的云计算活动包括：设计、创建和维护服务组件（条款8..21）编写服务（条款8..22）测试服务（条款8..23）注1-云服务集成商和云服务组件开发者描述云服务开发者子角色，其中云服务集成商处理来自其他服务的服务的组成，其云服务组件开发者处理单个服务组件的设计，创建，测试和护。注2-这包括涉及与对等云服务提供商交互的服务实现和服务组件。支持容器环境的操作系统来自受感染内部主机的横向操作，加强攻击者在组织网络内的[NSTSP0018]容器管理平台容器生命周期事件开发者[NST SP 80-64IS/IC1789204]Rev2/主机横向移动[LGH[LGHCYER206]立足点，控制其他计算机，并最终控制战略资产。微服微服务微服务是一个基本元素，它是将应用程序组件的体系结构分解为松散耦合的模式的结果，这些模式由自包含的服务组成，这[N[NSTSP0018]些些服务使用标准通信协议和一组定义明确的API相互通信独立于任何供应商、产品或技术。微服务是围绕功能而不是服构建的建立在SO之上并使用敏捷技术实现微服务通常部署在应用程序容器内。企业企业操