CIS 基准

目录

什么是 CIS Docker Benchmark?

CIS Docker Benchmark 是由 互联网安全中心 (CIS) 开发的全球公认 CIS Benchmarks 的一部分。它为 Docker 容器生态系统的所有方面定义了推荐的安全配置,包括容器主机、Docker 守护进程、容器镜像和容器运行时。

为什么 CIS Benchmark 合规性很重要

遵循 CIS Docker Benchmark 有助于组织

  • 通过广泛认可的强化指南降低安全风险。
  • 满足引用 CIS 控制的法规或合同要求。
  • 在团队之间标准化镜像和 Dockerfile 实践。
  • 通过基于公共标准的配置决策展示审计准备就绪状态。

Docker 强化镜像如何符合 CIS Benchmark

Docker 强化镜像 (DHI) 在设计时考虑了安全性,并经过验证,符合最新的 CIS Docker Benchmark (v1.8.0) 中适用于容器镜像和 Dockerfile 配置范围的相关控制。

符合 CIS 的 DHI 符合第 4 节中的所有控制,但要求 Docker Content Trust (DCT) 的控制除外,因为 Docker 已正式停用该功能。相反,DHI 使用 Cosign 进行签名,提供了更高的真实性和完整性。通过从符合 CIS 的 DHI 开始,团队可以更快、更自信地采用 benchmark 中的镜像级最佳实践。

注意

CIS Docker Benchmark 还包括对主机、守护进程和运行时的控制。符合 CIS 的 DHI 仅处理镜像和 Dockerfile 范围(第 4 节)。整体合规性仍取决于您如何配置和操作更广泛的环境。

识别符合 CIS 的镜像

符合 CIS 的镜像在 Docker 强化镜像目录中标记为 **CIS**。要找到它们,请浏览镜像并在各个列表中查找 **CIS** 标记。

获取 Benchmark

直接从 CIS 下载最新的 CIS Docker Benchmark:https://www.cisecurity.org/benchmark/docker

© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.