等保2.0测评 — 容器安全扩展要求(安全计算环境)
💡
原文中文,约3800字,阅读约需10分钟。
📝
内容提要
本文介绍了在容器集群中实施等保2.0的四级条款要求的实验环境和具体操作步骤,包括身份鉴别、访问控制、网络访问控制、资源访问控制权限迁移和安全容器运行时技术等方面的要求和评估对象。实验环境中使用的产品有限,部分条款要求无法满足,需要补充说明。
🎯
关键要点
- 实验环境使用的产品有限,部分条款要求无法满足,需要补充说明。
- 身份鉴别要求包括管理平台、容器镜像仓库和容器实例的安全协议连接和身份鉴别机制。
- 访问控制要求包括管理平台和容器镜像仓库的细粒度权限控制,以及多用户场景下的网络访问控制。
- 集群用户和应用程序的访问控制权限需随容器实例迁移,确保权限不变。
- 应使用安全容器运行时技术实现内核级别的强隔离,Kubernetes本身不提供此功能。
- 安全审计要求包括审计容器镜像的使用情况,记录上传和下载事件及访问源IP。
❓
延伸问答
等保2.0的实验环境中使用了哪些主要产品?
实验环境中使用的主要产品包括Kubernetes v1.28.8、Rancher v2.8.2、Harbor v2.5.0、Checkov 3.2.60和Trivy v0.24.2。
在等保2.0中,身份鉴别的要求有哪些?
身份鉴别要求包括对管理平台、容器镜像仓库和容器实例的访问请求进行身份标识和鉴别,并确保使用安全协议连接。
如何实现对容器镜像仓库的访问控制?
应对容器镜像仓库设定细粒度的访问控制,支持项目级别权限控制,确保不同用户对不同项目的访问权限。
等保2.0中对容器实例的网络访问控制有什么要求?
应实现多用户场景下容器实例之间、容器与宿主机之间的网络访问控制,支持根据IP地址、端口号等条件添加网络策略。
安全容器运行时技术的作用是什么?
安全容器运行时技术用于实现内核级别的强隔离,确保容器实例之间的安全隔离,Kubernetes本身不提供此功能。
等保2.0的安全审计要求包括哪些内容?
安全审计要求包括审计容器镜像的使用情况,记录镜像上传和下载事件及访问源IP。
➡️
