3月16日，美国联邦风险和授权管理计划（Federal Risk and Authorization Management Program，简称FedRAMP）发布了文档《容器漏洞扫描要求》（FedRAMP Vulnerability Scanning Requirements for Containers），通过描述“使用容器技术的云系统漏洞扫描的特定流程、架构和安全考虑”，确保云服务提供商（CSP）保持其容器技术合规，弥补了传统云系统和容器化云系统之间的合规差距。

　　ONE

　　一、背景

　　FedRAMP是一个政府范围内的计划，为云产品和服务的安全评估、授权和持续监控（ConMon）提供了标准化方法。通过向联合授权委员会（JAB）和机构授权官员（AO）提供有关系统安全态势变化的深入见解，ConMon确保云服务系统商持续保障FedRAMP授权系统的安全。随着技术日新月异，云服务提供商也在不断发展以改善和适应客户的需求。某些技术变化会影响ConMon的执行方式。

　　本文件补充并更新了《FedRAMP持续监控策略指南》（FedRAMP Continuous Monitoring Strategy Guide）和《FedRAMP漏洞扫描要求》（FedRAMP Vulnerability Scanning Requirements）中定义的现有要求，介绍了FedRAMP在使用容器技术的云系统漏洞扫描中需要遵循的流程，架构及安全考虑等方面的特定合规要求。

　　TWO

　　二、容器技术的特点和风险

　　容器技术可以部署在裸机或虚拟机上、本地自建系统或弹性云环境中。通常使用各种容器编排工具来实现大规模的分布式容器的部署和管理。以下是容器技术的常见特征：

　　容器启动的应用程序及其依赖库与其他进程相隔离

　　容器具有独立于主机的网络连接

　　容器具有弹性，偶尔具有临时性

　　容器是不可变的，升级操作发生在安全预发布环境中的源镜像上，升级容器指的是销毁现有容器并将其替换为新容器

　　与使用容器化技术有关的重要风险和威胁包括：

　　未经验证的外部软件

　　非标准配置

　　未受监控的容器间的通信

　　未被跟踪的临时实例

　　未经授权的访问

　　Registry/Repository仓库中毒

　　非托管的Registry/Repository仓库

　　本文件中列出的安全要求有助于云服务提供商在遵从FedRAMP合规要求的同时充分利用容器技术。以下安全要求的目的是确保与使用容器技术有关的风险（包括但不限于以上要点形式列出的）即使没有被解决，至少得到缓解。虽然这些要求广泛适用，但FedRAMP也认识到某些具体实现可能需要采取其他替代措施来应对风险。

　　THREE

　　三、使用容器技术的系统扫描要求

　　《FedRAMP持续监控策略指南》、《FedRAMP低度、中度和高度安全控制基线》以及《FedRAMP漏洞扫描要求》文件中概述了现有的扫描要求，以下要求是补充性的，适用于所有实施容器技术的系统。

　　1.镜像加固

　　云服务提供商必须仅使用镜像经过加固的容器。加固须符合美国国家标准和技术研究所（NIST）国家核对清单项目（National Checklist Program）中列出的相关基准以及NIST SP 800-70的规定。最终配置必须由第三方评估机构（3PAO）验证，未加固镜像或通用镜像不得在授权边界内使用。

　　2.容器构建、测试和编排管道

　　云服务提供商必须利用自动化容器编排工具来构建、测试和部署容器到生产环境中。这些自动化工具必须经过第三方评估机构的验证。非自动化流程不应作为容器测试和编排流程的一部分，除非是出于质量审查目的而有意进行手动操作。

　　3.容器镜像漏洞扫描

　　在将容器部署到生产中之前，云服务提供商必须确保按照FedRAMP漏洞扫描要求文件中的规定扫描容器镜像的所有组件。在可能的情况下，容器编排流程应将扫描作为部署管道的步骤之一。此外，除非通过独立的安全传感器，不建议直接在部署到生产环境的容器上执行漏洞扫描。

　　4.安全传感器

　　可在生产环境的容器旁部署独立的安全传感器，以持续盘点和评估云服务提供商的安全态势。独立部署使安全传感器可以在各个容器之间保持广泛的可见性。安全传感器应以足够的权限运行，以避免缺乏可见性和产生误报。

　　5. Registry监控

　　容器镜像仓库（registry）必须对每个单独的镜像进行监测，以确保在30天漏洞扫描窗口内未扫描的镜像所对应的容器没有被主动部署到生产环境中。由于容器镜像仓库本身通常不是一个策略控制点，这个过程可以通过通知操作员或其他控制机制的警报来管理，以防止未经授权的部署。

　　6.已部署容器的资产管理和库存报告

　　为了识别与该容器相关联的生产环境上的相关漏洞总数，必须为与一个或多个容器相对应的每一类镜像分配一个唯一的资产标识符，以便自动化系统能够确保每个生产部署的容器与源镜像相对应。

　　FOUR

　　四、过渡计划

　　如果适用，每个利用容器技术的FedRAMP系统都有1个月的时间提交过渡计划，并在本文件发布之日起6个月内过渡到完全合规。

　　如果无法全面实施，云服务提供商须与其授权官员合作制定缓解计划。行政机关须审查和批准云服务提供商的缓解计划。对于具有联合授权委员会临时操作授权（JAB P-ATO）的系统，云服务提供商应将缓解计划发布到FedRAMP镜像仓库（FedRAMP repository），并发送电子邮件通知到info@fedramp.gov，或与其FedRAMP联络人（FedRAMP POC）讨论备选方案。当前任何由机构授权官员授权的云服务提供商都需要与其授权官员咨询协商。