4月19日，中關村信息安全測評聯(lián)盟發(fā)布《網絡安全等級保護容器安全要求》團體標準，7月1日，該標準已正式實施。天融信結合多年云安全積累經驗對該標準進行詳細解讀。

鑒于等保2.0云等保僅適用于虛擬機環(huán)境，無法應對容器技術引入的新安全風險，因此需要對容器應用場景提出補充安全要求，以指導網絡建設單位和測評人員，在網絡安全等級保護為基礎上，對基于容器技術的網絡進行建設和評估。為了配合《中華人民共和國網絡安全法》的實施，同時適應新技術、新應用情況下網絡安全等級保護工作的開展，中關村信息安全測評聯(lián)盟制定了《網絡安全等級保護容器安全要求》團體標準。

該標準規(guī)定了第一級至第四級的安全要求，第四級分為3大類、8項控制點和33項安全要求，包含身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、容器鏡像保護等能力要求。天融信根據第四級安全要求進行解讀并進行責任劃分，其中一部分安全要求需要云廠商具備相應的安全能力，而另一部分則需要安全廠商具備相應能力。以下是天融信對安全廠商部分安全要求的解讀以及相應的解決方案。

天融信云原生容器安全防護系統(tǒng)解決方案

面向云原生應用場景，天融信推出了云原生容器安全防護系統(tǒng)解決方案，可滿足《網絡安全等級保護容器安全要求》中對容器環(huán)境安全能力的要求。同時，該方案可助力政企客戶建立全生命周期的容器安全防護，防范容器技術引入的鏡像投毒、容器逃逸、橫向滲透等安全風險。天融信云原生容器安全防護系統(tǒng)解決方案以容器環(huán)境安全、容器鏡像安全、容器網絡安全和工作負載安全四個維度為切入點，從事前、事中、事后三個階段建立安全防線，確保容器環(huán)境中業(yè)務系統(tǒng)的安全可靠運行。

事前安全防范

天融信云原生容器安全防護系統(tǒng)解決方案通過容器鏡像掃描功能，深度掃描容器鏡像中的系統(tǒng)漏洞、應用軟件漏洞、病毒木馬以及敏感信息等，幫助客戶發(fā)現不安全鏡像，并通過容器啟動保護功能禁止不安全鏡像啟用，從源頭上解決容器鏡像安全問題。同時，該方案可通過系統(tǒng)中的安全基線檢查功能對容器環(huán)境進行安全配置檢查，及時發(fā)現不規(guī)范的容器環(huán)境配置，并給出相應修復方案，幫助客戶解決配置不規(guī)范引發(fā)的非必要的端口和服務暴露等安全隱患。

事中持續(xù)威脅檢查

天融信云原生容器安全防護系統(tǒng)提供多種安全機制保障工作負載的安全——容器逃逸防護功能可檢測和分析工作負載運行過程中的異常掛載宿主機目錄、違規(guī)進程調用和違規(guī)系統(tǒng)操作等問題；入侵檢測功能可保障工作負載對外提供的服務應用的安全性。天融信云原生安全防護系統(tǒng)解決方案通過多重安全機制的聯(lián)合防護，幫助客戶有效解決工作負載運行時面臨的容器逃逸等問題。

事后及時調查響應

天融信云原生容器安全防護系統(tǒng)解決方案可通過安全審計和可視化圖表對安全事件作進一步的分析，快速定位攻擊源，同時可聯(lián)動微隔離功能實現以單個容器為獨立體的全方位控制，減少隔離容器之間不必要的網絡連接，從而避免非必要端口的暴露。

容器技術作為一種輕量級的應用虛擬化技術，已經越來越廣泛地應用于云環(huán)境中，隨著云計算相關技術與應用的不斷成熟，越來越多的企業(yè)客戶將在數字化轉型中選擇容器以及相關的云原生應用。天融信始終以捍衛(wèi)國家網絡空間安全為己任，積極布局云原生安全領域，立足客戶安全需求不斷創(chuàng)新產品與服務，為企業(yè)數字化轉型保駕護航。