本文为云原生应用创新实践联盟—— 容器云安全方向课题组线上交流活动总结，相关协作专家如下所示， 更多内容可点击此处进入云原生应用创新实践联盟 进行查看。

执笔专家：
子非鱼 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟—— 容器云安全方向课题组专家。 目前就职某股份制银行负责容器安全相关架构师岗位，对容器具有丰富的实践经验。参与过银行容器云平台建设及安全规划工作，现在主要负责容器云安全及规划方面建设工作，擅长容器、云计算、安全等技术领域。

顾问专家：
社区ID:rechen 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组组长，云计算架构师，当前从事银行私有云和公有云基础设施、以及混合云架构的建设，参与包括容器云等相关云服务的规划、技术选型、架构设计和实施，以及业务连续性等保障体系的建设工作。
谭龙飞 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟—— 容器云安全方向课题组专家。 负责云安全工作，擅长容器、linux。

1概述

近些年来，容器技术迅速席卷全球，颠覆了应用的开发、交付和运行模式，在云计算、互联网等领域得到了广泛应用，因而容器安全也越来越受到重视，本文主要讲解容器云安全基线建设的通用性原理，从总体建设到具体建设，介绍其建设过程，并根据容器云基线的特点提出了安全基线编制规范与基线内容来源，希望给有计划建设容器云安全基线的企业提供编写规范参考。

安全基线，是借用“基线”的概念。字典上对“基线”的解释是：一种在测量、计算或定位中的基本参照。如海岸基线，是水位到达的水位线。类比于“木桶理论”，可以认为安全基线是安全木桶的最短板，或者说，是最低的安全要求。

安全基线也是一个信息系统的最小安全保证，即该信息系统最基本需要满足的安全要求。例如是否存在不允许的用户账号、账号的口令策略存在一定问题（不满足复杂度、长度、更改时间的要求）、只有管理员或者特定用户才有权更改特定配置文件等等。这些安全配置直接反映了系统自身的安全脆弱性。举个简单的例子：如果没有配置安全基线，很容易使人或者代码利用安全基线弱点攻击服务器。比如弱密码，由于未部署服务器账户口令复杂的策略，导致很容易被暴力猜测服务器管理员账户的口令。有了口令之后就可以很轻松的进行配置的修改，添加私密操作的系统账号、建立远程连接服务等操作，导致最后服务器失陷等。可以说安全基线设置是否严格以及是否产生变化成为防范恶意攻击的最后一道防线。

信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡，而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求，也就无法承受由此带来的安全风险，而非基本安全需求的满足同样会带来超额安全成本的付出，所以构造信息系统安全基线己经成为系统安全工程的首要步骤，同时也是进行安全评估、解决信息系统安全性问题的先决条件。

1.1背景

其一，近些年来，容器技术迅速席卷全球，颠覆了应用的开发、交付和运行模式，在云计算、互联网等领域得到了广泛应用。相对于传统虚拟机技术，容器技术具有节省资源、快速部署、易于移植、弹性伸缩等优势，可整体提高IT资源利用率与交付效率，因此也促进了以容器为代表的云原生技术体系的蓬勃发展，其已被广泛认为是重塑了IT技术架构，应对数字化转型产生全局性影响的基础平台和核心技术，为了顺应时代发展潮流和应对不断进步的新技术对老旧IT体系的的冲击，越来越多的企业开始拥抱容器技术，开始拥抱云原生。

其二，随着企业国际化发展，同时在“数字中国”发展战略指引下，企业数字化转型进程正不断加快。随着网络安全相关法律法规以及规范制度的应用普及，安全合规管理也成为常态化，所有企事业单位网络安全建设都需要满足来自于国家或监管单位的“安全标准”，如等保2.0、CIS安全标准、GDPR等等。“安全标准”，还有一个叫法就是“安全基线”。

因此企业需要构建自己的安全基线体系，就容器云安全基线而言，一般包含两个方面：一是云原生应用操作系统（如Kubernetes、OpenShift）的安全基线，二是容器运行时（如Docker）的安全基线。

1.2意义

安全基线的意义在于通过在系统生命周期不同阶段对目标系统展开各类安全检查，找出不符合基线定义的安全配置项并选择和实施安全措施来控制安全风险，并通过对历史数据的分析获得系统安全状态和变化趋势。在金融、运营商、互联网等行业应用范围非常广泛。基本上可以说，任何安全检查都是围绕不同安全基线展开。通过自查、自加固到迎接有关部门的统一抽检，确实可以帮助企业认清自身风险现状和漏洞隐患。

1.2.1安全合规的要求
在安全合规方面，各行各业甚至国家、国际机构都有很严格的标准：
1、在安全方面，国际标准化组织也有信息安全标准ISO27000，其中ISO 27001在其中具有核心作用，该标准发布于2005年。
2、我国在这方面也有信息安全等级保护要求，简称等保；它有五个等级，在很多行业等保有硬性要求，如互联网金融行业至少要符合第四级的等保要求。
3、各个行业对安全也有专门的标准，如在支付行业，有内卡的非金融机构支付业务设施技术认证JR/T1022-2014，JR/T0213-2014和外卡的数据安全标准PCI_DSS v3.1。

如下为我国工信部于2020年发布的《关于做好2020年电信和互联网行业网络安全检查工作的通知》：
据工信部网站10月12日消息，根据《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等相关法律规章，决定组织开展2020年电信和互联网行业网络安全检查工作。

要求各网络运行单位对检查发现的薄弱环节和安全风险进行深入整改，并及时向电信主管部门报告整改情况。基础电信企业省级公司和专业公司网络和系统检查结果将分别作为2020年省级基础电信企业和专业公司网络与信息安全责任考核依据。发现网络运行单位存在违反法律法规行为、问题拒不改正或导致危害网络安全等后果的，电信主管部门将依法依规给予行政处罚。

检查对象：
依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构（以下统称“网络运行单位”）建设与运营的网络和系统，重点是电信和互联网行业关键信息基础设施和重要网络单元及承载的信息系统，包括不限于：5G网络基础设施、IP承载网、管理支撑系统、公共云服务平台、域名服务系统、移动应用商店、工业互联网平台、物联网平台、车联网应用服务平台、网约车信息服务平台等。

检查内容：
网络安全监测和防护措施符合电信和互联网安全防护体系系列标准情况，可导致网络中断、非法受控等严重危害的网络安全重大风险隐患等。主要包括以下三个方面：
（1） 安全管理落实情况：包括单元划分、定级备案、安全测评、风险评估等。
（2） 安全防护技术措施：是否采取符合安全防护标准要求的安全监测、访问控制、边界防护等技术措施。
（3） 重大风险隐患：高危漏洞、弱口令等重大安全隐患，以及木马、病毒、僵尸程序等恶意程序。

以上可以看出，安全基线是企业践行安全合规的重要组成部分。

1.2.2云原生