©2 0 2 2 国 际 云 安 全 联 盟 大 中 华 区 版 权 所 有1 ©2022国际云安全联盟大中华区版权所有2摘要 在DevOps等一些敏捷软件开发方法的设计、开发和部署应用阶段往往会采用应用容 器和微服务架构。这些软件开发方法里需要嵌入安全。本文从开发者、运营者和架构师 的视角，提出了一些建议和最佳实践，解决在可信赖的安全系统工程中保护应用程序容 器所面临的挑战。 @2022国际云安全联盟大中华区-保留所有权利。本文档发布在国际云安全联盟大中华区官 网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、 查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡 改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告 内容时，请注明来源于国际云安全联盟。 ©2022国际云安全联盟大中华区版权所有3序言 为深入贯彻落实国家关于建设网络强国、数字中国、智慧社会的战略部署，在各行 业主管部门的监督和政策指引下，信息化水平快速提升，构筑全方位的网络安全体系也 成为网络安全核心任务。 众所皆知，云计算/云原生技术因能极大地提高云上资源利用率以及应用交付效率 而被广泛采用。然而，云计算/云原生技术的发展也让用户遭受了更多高级威胁与攻击。 如何构建有效的云原生安全管理体系应对层出不穷的安全威胁这一问题也一直受到千 行百业用户的关注与热议。 此次发布的《实现安全应用容器架构的最佳实践》充分考虑了这些年安全应用容器 架构的技术发展和行业需求，更好地满足数字化安全的未来发展。 如今，在DevOps等一些敏捷软件开发方法的设计、开发和部署应用阶段往往会采用 应用容器和微服务架构。这些软件开发方法里需要嵌入安全。安全的DevOps要求安全人 员、开发者和运营者协同工作，方可设计、构建出值得信赖的安全系统。 本文从开发者、运营者和架构师的视角着手，通过通俗易懂的语言提出了一些紧贴 落地实践的建议和最佳实践（包括了跨环境的代码加固、主机安全、来自平台/主机的 容器持续性监控、容器间的网络通信、验证镜像的完整性和安全性、容器取证、平台管 理、容器管理、容器加密等17个方面），希望读者朋友在阅毕后可对安全应用容器架构 有更为清晰的理解，能更快、更好地开展应用实践。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2022国际云安全联盟大中华区版权所有4致谢 《实现安全应用容器架构的最佳实践(BestPracticesforImplementingaSecure ApplicationContainerArchitecture)》由CSA工作组专家编写，CSA大中华区秘书处组织翻 译并审校。 中文版翻译专家（排名不分先后）： 组长：刘文懋 翻译组：陈俊杰郭嘉伟刘连杰刘文懋李娜容 马维士申屠鹏会杨玉欢郑剑锋 审校组：王亮陆琪刘文懋姚凯 研究协调员：刘连杰 感谢以下单位的支持与贡献： 安易科技（北京）有限公司 北京华云安信息技术有限公司 北京网御星云信息技术有限公司 绿盟科技集团股份有限公司 厦门服云信息科技有限公司 深信服科技股份有限公司 腾讯云计算（北京）有限责任公司 中国工商银行股份有限公司 英文版本编写专家 应用容器和微服务工作组主席包括： AnilKarmelAndrewWild 主要作者： JohnKinsellaCemGurkokFrankGeck 参与编著者： JeffBarnes RandallBrooks RamaswamyChandramouliMadhavChablani AtulChaturvedi AradhnaChetal JoshuaCuellar JoshuaDaniel ShyamkantDhamkeMicheleDrgon MicheleDrgon FrankGeck ©2022国际云安全联盟大中华区版权所有5MichaelGreen CemGurkok AmirJerbi AmirJerbi JuanitaKoilpillai YinLee AaronLippold VishwasManral JamesMcCloskey JamesMcCloskeyLloydOsafo LloydOsafo AlexRebo MichaelRoza EdSantiago EdSantiago Shankar KenStavinoha ShanthiThomas DavidWayland ShawnWells JohnWrobel MarkYanalitis JohnOsborne AshishKurmi JamesYaple VrettosMoulos CSA人员： HillaryBaronMarinaBregu 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正! 联系邮箱：[email protected]；国际云安全联盟CSA公众号。 ©2022国际云安全联盟大中华区版权所有6目录 摘要...........................................................................................................................................................2 序言...........................................................................................................................................................3 致谢...........................................................................................................................................................4 英文版本编写专家...................................................................................................................................4 内容提要...................................................................................................................................................7 1介绍.......................................................................................................................................................8 1.1目的和范围..............................................................................................................................8 1.2文档结构..................................................................................................................................8 1.3读者..........................................................................................................................................8 2应用容器...............................................................................................................................................9 3应对应用容器挑战的缓解措施.........................................................................................................14 3.1.1跨环境的代码提升....................................................................................................14 3.1.2主机安全....................................................................................................................15 3.1.3平台或宿主机侧的容器持续监控.........