实现安全应用容器架构的最佳实践

©2022国际云安全联盟大中华区版权所有1 ©2022国际云安全联盟大中华区版权所有2摘要在DevOps等一些敏捷软件开发方法的设计、开发和部署应用阶段往往会采用应用容器和微服务架构。这些软件开发方法里需要嵌入安全。本文从开发者、运营者和架构师的视角，提出了一些建议和最佳实践，解决在可信赖的安全系统工程中保护应用程序容器所面临的挑战。@2022国际云安全联盟大中华区-保留所有权利。本文档发布在国际云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于国际云安全联盟。 ©2022国际云安全联盟大中华区版权所有3序言为深入贯彻落实国家关于建设网络强国、数字中国、智慧社会的战略部署，在各行业主管部门的监督和政策指引下，信息化水平快速提升，构筑全方位的网络安全体系也成为网络安全核心任务。众所皆知，云计算/云原生技术因能极大地提高云上资源利用率以及应用交付效率而被广泛采用。然而，云计算/云原生技术的发展也让用户遭受了更多高级威胁与攻击。如何构建有效的云原生安全管理体系应对层出不穷的安全威胁这一问题也一直受到千行百业用户的关注与热议。此次发布的《实现安全应用容器架构的最佳实践》充分考虑了这些年安全应用容器架构的技术发展和行业需求，更好地满足数字化安全的未来发展。如今，在DevOps等一些敏捷软件开发方法的设计、开发和部署应用阶段往往会采用应用容器和微服务架构。这些软件开发方法里需要嵌入安全。安全的DevOps要求安全人员、开发者和运营者协同工作，方可设计、构建出值得信赖的安全系统。本文从开发者、运营者和架构师的视角着手，通过通俗易懂的语言提出了一些紧贴落地实践的建议和最佳实践（包括了跨环境的代码加固、主机安全、来自平台/主机的容器持续性监控、容器间的网络通信、验证镜像的完整性和安全性、容器取证、平台管理、容器管理、容器加密等17个方面），希望读者朋友在阅毕后可对安全应用容器架构有更为清晰的理解，能更快、更好地开展应用实践。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2022国际云安全联盟大中华区版权所有4致谢《实现安全应用容器架构的最佳实践(BestPracticesforImplementingaSecureApplicationContainerArchitecture)》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家（排名不分先后）：组长：刘文懋翻译组：陈俊杰郭嘉伟刘连杰刘文懋李娜容马维士申屠鹏会杨玉欢郑剑锋审校组：王亮陆琪刘文懋姚凯研究协调员：刘连杰感谢以下单位的支持与贡献：安易科技（北京）有限公司北京华云安信息技术有限公司北京网御星云信息技术有限公司绿盟科技集团股份有限公司厦门服云信息科技有限公司深信服科技股份有限公司腾讯云计算（北京）有限责任公司中国工商银行股份有限公司英文版本编写专家应用容器和微服务工作组主席包括：AnilKarmelAndrewWild主要作者：JohnKinsellaCemGurkokFrankGeck参与编著者：JeffBarnesRandallBrooksRamaswamyChandramouliMadhavChablaniAtulChaturvediAradhnaChetalJoshuaCuellarJoshuaDanielShyamkantDhamkeMicheleDrgonMicheleDrgonFrankGeck ©2022国际云安全联盟大中华区版权所有5MichaelGreenCemGurkokAmirJerbiAmirJerbiJuanitaKoilpillaiYinLeeAaronLippoldVishwasManralJamesMcCloskeyJamesMcCloskeyLloydOsafoLloydOsafoAlexReboMichaelRozaEdSantiagoEdSantiagoShankarKenStavinohaShanthiThomasDavidWaylandShawnWellsJohnWrobelMarkYanalitisJohnOsborneAshishKurmiJamesYapleVrettosMoulosCSA人员：HillaryBaronMarinaBregu在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 ©2022国际云安全联盟大中华区版权所有6目录摘要...........................................................................................................................................................2序言...........................................................................................................................................................3致谢...........................................................................................................................................................4英文版本编写专家...................................................................................................................................4内容提要...................................................................................................................................................71介绍.......................................................................................................................................................81.1目的和范围..............................................................................................................................81.2文档结构..................................................................................................................................81.3读者..........................................................................................................................................82应用容器...............................................................................................................................................93应对应用容器挑战的缓解措施.........................................................................................................143.1.1跨环境的代码提升....................................................................................................143.1.2主机安全....................................................................................................................153.1.3平台或宿主机侧的容器持续监控............................................................................173.1.4容器网络-宿主机与容器通信..................................................................................183.1.5容器网络-容器间的通信..........................................................................................183.1.6验证镜像的完整性和安全性....................................................................................193.1.7容器取证....................................................................................................................213.1.8跨容器的信任链........................................................................................................223.1.9容器卷管理................................................................................................................243.1.10容器秘密（Secret）管理......................................................................................263.1.11平台管理-生命周期事件通知................................................................................273.1.12平台管理-资源请求................................................................................................273.1.13平台管理-容器资源管理................................