3月16日，美國聯邦風險和授權管理計劃（Federal Risk and Authorization Management Program，簡稱FedRAMP）發布了文檔《容器漏洞掃描要求》（FedRAMP Vulnerability Scanning Requirements for Containers），通過描述“使用容器技術的云系統漏洞掃描的特定流程、架構和安全考慮”，確保云服務提供商（CSP）保持其容器技術合規，彌補了傳統云系統和容器化云系統之間的合規差距。

　　ONE

　　一、背景

　　FedRAMP是一個政府范圍內的計劃，為云產品和服務的安全評估、授權和持續監控（ConMon）提供了標準化方法。通過向聯合授權委員會（JAB）和機構授權官員（AO）提供有關系統安全態勢變化的深入見解，ConMon確保云服務系統商持續保障FedRAMP授權系統的安全。隨著技術日新月異，云服務提供商也在不斷發展以改善和適應客戶的需求。某些技術變化會影響ConMon的執行方式。

　　本文件補充并更新了《FedRAMP持續監控策略指南》（FedRAMP Continuous Monitoring Strategy Guide）和《FedRAMP漏洞掃描要求》（FedRAMP Vulnerability Scanning Requirements）中定義的現有要求，介紹了FedRAMP在使用容器技術的云系統漏洞掃描中需要遵循的流程，架構及安全考慮等方面的特定合規要求。

　　TWO

　　二、容器技術的特點和風險

　　容器技術可以部署在裸機或虛擬機上、本地自建系統或彈性云環境中。通常使用各種容器編排工具來實現大規模的分布式容器的部署和管理。以下是容器技術的常見特征：

　　容器啟動的應用程序及其依賴庫與其他進程相隔離

　　容器具有獨立于主機的網絡連接

　　容器具有彈性，偶爾具有臨時性

　　容器是不可變的，升級操作發生在安全預發布環境中的源鏡像上，升級容器指的是銷毀現有容器并將其替換為新容器

　　與使用容器化技術有關的重要風險和威脅包括：

　　未經驗證的外部軟件

　　非標準配置

　　未受監控的容器間的通信

　　未被跟蹤的臨時實例

　　未經授權的訪問

　　Registry/Repository倉庫中毒

　　非托管的Registry/Repository倉庫

　　本文件中列出的安全要求有助于云服務提供商在遵從FedRAMP合規要求的同時充分利用容器技術。以下安全要求的目的是確保與使用容器技術有關的風險（包括但不限于以上要點形式列出的）即使沒有被解決，至少得到緩解。雖然這些要求廣泛適用，但FedRAMP也認識到某些具體實現可能需要采取其他替代措施來應對風險。

　　THREE

　　三、使用容器技術的系統掃描要求

　　《FedRAMP持續監控策略指南》、《FedRAMP低度、中度和高度安全控制基線》以及《FedRAMP漏洞掃描要求》文件中概述了現有的掃描要求，以下要求是補充性的，適用于所有實施容器技術的系統。

　　1.鏡像加固

　　云服務提供商必須僅使用鏡像經過加固的容器。加固須符合美國國家標準和技術研究所（NIST）國家核對清單項目（National Checklist Program）中列出的相關基準以及NIST SP 800-70的規定。最終配置必須由第三方評估機構（3PAO）驗證，未加固鏡像或通用鏡像不得在授權邊界內使用。

　　2.容器構建、測試和編排管道

　　云服務提供商必須利用自動化容器編排工具來構建、測試和部署容器到生產環境中。這些自動化工具必須經過第三方評估機構的驗證。非自動化流程不應作為容器測試和編排流程的一部分，除非是出于質量審查目的而有意進行手動操作。

　　3.容器鏡像漏洞掃描

　　在將容器部署到生產中之前，云服務提供商必須確保按照FedRAMP漏洞掃描要求文件中的規定掃描容器鏡像的所有組件。在可能的情況下，容器編排流程應將掃描作為部署管道的步驟之一。此外，除非通過獨立的安全傳感器，不建議直接在部署到生產環境的容器上執行漏洞掃描。

　　4.安全傳感器

　　可在生產環境的容器旁部署獨立的安全傳感器，以持續盤點和評估云服務提供商的安全態勢。獨立部署使安全傳感器可以在各個容器之間保持廣泛的可見性。安全傳感器應以足夠的權限運行，以避免缺乏可見性和產生誤報。

　　5. Registry監控

　　容器鏡像倉庫（registry）必須對每個單獨的鏡像進行監測，以確保在30天漏洞掃描窗口內未掃描的鏡像所對應的容器沒有被主動部署到生產環境中。由于容器鏡像倉庫本身通常不是一個策略控制點，這個過程可以通過通知操作員或其他控制機制的警報來管理，以防止未經授權的部署。

　　6.已部署容器的資產管理和庫存報告

　　為了識別與該容器相關聯的生產環境上的相關漏洞總數，必須為與一個或多個容器相對應的每一類鏡像分配一個唯一的資產標識符，以便自動化系統能夠確保每個生產部署的容器與源鏡像相對應。

　　FOUR

　　四、過渡計劃

　　如果適用，每個利用容器技術的FedRAMP系統都有1個月的時間提交過渡計劃，并在本文件發布之日起6個月內過渡到完全合規。

　　如果無法全面實施，云服務提供商須與其授權官員合作制定緩解計劃。行政機關須審查和批準云服務提供商的緩解計劃。對于具有聯合授權委員會臨時操作授權（JAB P-ATO）的系統，云服務提供商應將緩解計劃發布到FedRAMP鏡像倉庫（FedRAMP repository），并發送電子郵件通知到info@fedramp.gov，或與其FedRAMP聯絡人（FedRAMP POC）討論備選方案。當前任何由機構授權官員授權的云服務提供商都需要與其授權官員咨詢協商。