美國(guó)政府發(fā)布容器安全指南,聯(lián)邦機(jī)構(gòu)需在半年內(nèi)全部合規(guī)
2021-03-24
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
3月16日,美國(guó)聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(Federal Risk and Authorization Management Program,簡(jiǎn)稱FedRAMP)發(fā)布了文檔《容器漏洞掃描要求》(FedRAMP Vulnerability Scanning Requirements for Containers),通過(guò)描述“使用容器技術(shù)的云系統(tǒng)漏洞掃描的特定流程、架構(gòu)和安全考慮”,確保云服務(wù)提供商(CSP)保持其容器技術(shù)合規(guī),彌補(bǔ)了傳統(tǒng)云系統(tǒng)和容器化云系統(tǒng)之間的合規(guī)差距。
ONE
一、背景
FedRAMP是一個(gè)政府范圍內(nèi)的計(jì)劃,為云產(chǎn)品和服務(wù)的安全評(píng)估、授權(quán)和持續(xù)監(jiān)控(ConMon)提供了標(biāo)準(zhǔn)化方法。通過(guò)向聯(lián)合授權(quán)委員會(huì)(JAB)和機(jī)構(gòu)授權(quán)官員(AO)提供有關(guān)系統(tǒng)安全態(tài)勢(shì)變化的深入見解,ConMon確保云服務(wù)系統(tǒng)商持續(xù)保障FedRAMP授權(quán)系統(tǒng)的安全。隨著技術(shù)日新月異,云服務(wù)提供商也在不斷發(fā)展以改善和適應(yīng)客戶的需求。某些技術(shù)變化會(huì)影響ConMon的執(zhí)行方式。
本文件補(bǔ)充并更新了《FedRAMP持續(xù)監(jiān)控策略指南》(FedRAMP Continuous Monitoring Strategy Guide)和《FedRAMP漏洞掃描要求》(FedRAMP Vulnerability Scanning Requirements)中定義的現(xiàn)有要求,介紹了FedRAMP在使用容器技術(shù)的云系統(tǒng)漏洞掃描中需要遵循的流程,架構(gòu)及安全考慮等方面的特定合規(guī)要求。
TWO
二、容器技術(shù)的特點(diǎn)和風(fēng)險(xiǎn)
容器技術(shù)可以部署在裸機(jī)或虛擬機(jī)上、本地自建系統(tǒng)或彈性云環(huán)境中。通常使用各種容器編排工具來(lái)實(shí)現(xiàn)大規(guī)模的分布式容器的部署和管理。以下是容器技術(shù)的常見特征:
容器啟動(dòng)的應(yīng)用程序及其依賴庫(kù)與其他進(jìn)程相隔離
容器具有獨(dú)立于主機(jī)的網(wǎng)絡(luò)連接
容器具有彈性,偶爾具有臨時(shí)性
容器是不可變的,升級(jí)操作發(fā)生在安全預(yù)發(fā)布環(huán)境中的源鏡像上,升級(jí)容器指的是銷毀現(xiàn)有容器并將其替換為新容器
與使用容器化技術(shù)有關(guān)的重要風(fēng)險(xiǎn)和威脅包括:
未經(jīng)驗(yàn)證的外部軟件
非標(biāo)準(zhǔn)配置
未受監(jiān)控的容器間的通信
未被跟蹤的臨時(shí)實(shí)例
未經(jīng)授權(quán)的訪問(wèn)
Registry/Repository倉(cāng)庫(kù)中毒
非托管的Registry/Repository倉(cāng)庫(kù)
本文件中列出的安全要求有助于云服務(wù)提供商在遵從FedRAMP合規(guī)要求的同時(shí)充分利用容器技術(shù)。以下安全要求的目的是確保與使用容器技術(shù)有關(guān)的風(fēng)險(xiǎn)(包括但不限于以上要點(diǎn)形式列出的)即使沒(méi)有被解決,至少得到緩解。雖然這些要求廣泛適用,但FedRAMP也認(rèn)識(shí)到某些具體實(shí)現(xiàn)可能需要采取其他替代措施來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)。
THREE
三、使用容器技術(shù)的系統(tǒng)掃描要求
《FedRAMP持續(xù)監(jiān)控策略指南》、《FedRAMP低度、中度和高度安全控制基線》以及《FedRAMP漏洞掃描要求》文件中概述了現(xiàn)有的掃描要求,以下要求是補(bǔ)充性的,適用于所有實(shí)施容器技術(shù)的系統(tǒng)。
1.鏡像加固
云服務(wù)提供商必須僅使用鏡像經(jīng)過(guò)加固的容器。加固須符合美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)國(guó)家核對(duì)清單項(xiàng)目(National Checklist Program)中列出的相關(guān)基準(zhǔn)以及NIST SP 800-70的規(guī)定。最終配置必須由第三方評(píng)估機(jī)構(gòu)(3PAO)驗(yàn)證,未加固鏡像或通用鏡像不得在授權(quán)邊界內(nèi)使用。
2.容器構(gòu)建、測(cè)試和編排管道
云服務(wù)提供商必須利用自動(dòng)化容器編排工具來(lái)構(gòu)建、測(cè)試和部署容器到生產(chǎn)環(huán)境中。這些自動(dòng)化工具必須經(jīng)過(guò)第三方評(píng)估機(jī)構(gòu)的驗(yàn)證。非自動(dòng)化流程不應(yīng)作為容器測(cè)試和編排流程的一部分,除非是出于質(zhì)量審查目的而有意進(jìn)行手動(dòng)操作。
3.容器鏡像漏洞掃描
在將容器部署到生產(chǎn)中之前,云服務(wù)提供商必須確保按照FedRAMP漏洞掃描要求文件中的規(guī)定掃描容器鏡像的所有組件。在可能的情況下,容器編排流程應(yīng)將掃描作為部署管道的步驟之一。此外,除非通過(guò)獨(dú)立的安全傳感器,不建議直接在部署到生產(chǎn)環(huán)境的容器上執(zhí)行漏洞掃描。
4.安全傳感器
可在生產(chǎn)環(huán)境的容器旁部署獨(dú)立的安全傳感器,以持續(xù)盤點(diǎn)和評(píng)估云服務(wù)提供商的安全態(tài)勢(shì)。獨(dú)立部署使安全傳感器可以在各個(gè)容器之間保持廣泛的可見性。安全傳感器應(yīng)以足夠的權(quán)限運(yùn)行,以避免缺乏可見性和產(chǎn)生誤報(bào)。
5. Registry監(jiān)控
容器鏡像倉(cāng)庫(kù)(registry)必須對(duì)每個(gè)單獨(dú)的鏡像進(jìn)行監(jiān)測(cè),以確保在30天漏洞掃描窗口內(nèi)未掃描的鏡像所對(duì)應(yīng)的容器沒(méi)有被主動(dòng)部署到生產(chǎn)環(huán)境中。由于容器鏡像倉(cāng)庫(kù)本身通常不是一個(gè)策略控制點(diǎn),這個(gè)過(guò)程可以通過(guò)通知操作員或其他控制機(jī)制的警報(bào)來(lái)管理,以防止未經(jīng)授權(quán)的部署。
6.已部署容器的資產(chǎn)管理和庫(kù)存報(bào)告
為了識(shí)別與該容器相關(guān)聯(lián)的生產(chǎn)環(huán)境上的相關(guān)漏洞總數(shù),必須為與一個(gè)或多個(gè)容器相對(duì)應(yīng)的每一類鏡像分配一個(gè)唯一的資產(chǎn)標(biāo)識(shí)符,以便自動(dòng)化系統(tǒng)能夠確保每個(gè)生產(chǎn)部署的容器與源鏡像相對(duì)應(yīng)。
FOUR
四、過(guò)渡計(jì)劃
如果適用,每個(gè)利用容器技術(shù)的FedRAMP系統(tǒng)都有1個(gè)月的時(shí)間提交過(guò)渡計(jì)劃,并在本文件發(fā)布之日起6個(gè)月內(nèi)過(guò)渡到完全合規(guī)。
如果無(wú)法全面實(shí)施,云服務(wù)提供商須與其授權(quán)官員合作制定緩解計(jì)劃。行政機(jī)關(guān)須審查和批準(zhǔn)云服務(wù)提供商的緩解計(jì)劃。對(duì)于具有聯(lián)合授權(quán)委員會(huì)臨時(shí)操作授權(quán)(JAB P-ATO)的系統(tǒng),云服務(wù)提供商應(yīng)將緩解計(jì)劃發(fā)布到FedRAMP鏡像倉(cāng)庫(kù)(FedRAMP repository),并發(fā)送電子郵件通知到info@fedramp.gov,或與其FedRAMP聯(lián)絡(luò)人(FedRAMP POC)討論備選方案。當(dāng)前任何由機(jī)構(gòu)授權(quán)官員授權(quán)的云服務(wù)提供商都需要與其授權(quán)官員咨詢協(xié)商。