STIG
什么是 STIG?
安全技术实施指南 (STIGs) 是由美国国防信息系统局 (DISA) 发布的一套配置标准。它们定义了在美国国防部 (DoD) 环境中使用的操作系统、应用程序、数据库和其他技术的安全要求。
STIGs 有助于确保系统配置安全且一致,以减少漏洞。它们通常基于更广泛的要求,例如国防部的通用操作系统安全要求指南 (GPOS SRG)。
为什么 STIG 指南很重要
遵循 STIG 指南对于与美国政府系统合作或支持美国政府系统的组织至关重要。它表明与国防部安全标准保持一致,并有助于:
- 加速国防部系统的运行授权 (ATO) 流程
- 降低配置错误和可利用弱点的风险
- 通过标准化基线简化审计和报告
即使在联邦环境之外,STIGs 也被注重安全的组织用作强化系统配置的基准。
STIGs 源自更广泛的 NIST 指南,特别是 NIST 特别出版物 800-53,该出版物定义了联邦系统的安全和隐私控制目录。寻求符合 800-53 或相关框架(如 FedRAMP)的组织可以将 STIGs 用作帮助满足适用控制要求的实施指南。
Docker 强化镜像如何帮助应用 STIG 指南
Docker 强化镜像 (DHI) 包含 STIG 变体,这些变体根据定制的基于 STIG 的配置文件进行扫描,并包含已签名的 STIG 扫描证明。这些证明可以支持审计和合规性报告。
Docker 根据 GPOS SRG 和国防部容器强化过程指南为镜像创建自定义的基于 STIG 的配置文件。由于 DISA 尚未发布专门针对容器的 STIG,这些配置文件有助于以一致、可审查的方式将类 STIG 指南应用于容器环境,并且旨在减少容器镜像中常见的误报。
识别包含 STIG 扫描结果的镜像
包含 STIG 扫描结果的 Docker 强化镜像在 Docker 强化镜像目录中被标记为 STIG。
要查找包含 STIG 镜像变体的 DHI 存储库,请浏览镜像并:
- 在目录页上使用 STIG 筛选器
- 查找单个镜像列表上的 STIG 标签
要在存储库中查找 STIG 镜像变体,请转到存储库中的 Tags 选项卡,并在 Compliance 列中查找标记为 STIG 的镜像。
查看和验证 STIG 扫描结果
Docker 为每个 STIG 强化镜像提供已签名的STIG 扫描证明。这些证明包括:
- 扫描结果摘要,包括通过、失败和不适用检查的数量
- 使用的 STIG 配置文件的名称和版本
- HTML 和 XCCDF (XML) 格式的完整输出
查看 STIG 扫描证明
您可以使用 Docker Scout CLI 检索和检查 STIG 扫描证明
$ docker scout attest get \
--predicate-type https://docker.com/dhi/stig/v0.1 \
--verify \
--predicate \
<your-namespace>/dhi-<image>:<tag>
提取 HTML 报告
提取并查看人类可读的 HTML 报告
$ docker scout attest get <your-namespace>/dhi-<image>:<tag> \
--predicate-type https://docker.com/dhi/stig/v0.1 \
--verify \
--predicate \
| jq -r '.[0].output[] | select(.format == "html").content | @base64d' > stig_report.html
提取 XCCDF 报告
提取 XML (XCCDF) 报告以便与其他工具集成
$ docker scout attest get <your-namespace>/dhi-<image>:<tag> \
--predicate-type https://docker.com/dhi/stig/v0.1 \
--verify \
--predicate \
| jq -r '.[0].output[] | select(.format == "xccdf").content | @base64d' > stig_report.xml
查看 STIG 扫描摘要
仅查看扫描摘要而不查看完整报告
$ docker scout attest get <your-namespace>/dhi-<image>:<tag> \
--predicate-type https://docker.com/dhi/stig/v0.1 \
--verify \
--predicate \
| jq -r '.[0] | del(.output)'