CIS Benchmark

目錄

什麼是 CIS Docker 基準?

CIS Docker 基準是全球公認的 CIS 基準的一部分,由網際網路安全中心 (CIS) 所開發。它定義了 Docker 容器生態系統各方面的建議安全配置,包括容器主機、Docker 守護程序 (daemon)、容器映像檔以及容器執行時期。

為什麼 CIS 基準合規性很重要

遵循 CIS Docker 基準有助於組織達成以下目標:

  • 透過廣受認可的強固指引降低安全風險。
  • 滿足引用 CIS 控制項的法規或合約要求。
  • 在團隊之間標準化映像檔和 Dockerfile 的實作方式。
  • 透過基於公開標準的配置決策,展現對稽核的準備度。

Docker 強固映像檔如何符合 CIS 基準

Docker 強固映像檔 (DHI) 在設計時已考量安全性,並經驗證符合最新 CIS Docker 基準 (v1.8.0) 中適用於容器映像檔和 Dockerfile 配置範圍的相關控制項。

符合 CIS 標準的 DHI 符合第 4 節中的所有控制項,唯一的例外是要求 Docker 內容信任 (DCT) 的控制項,而 Docker 已正式停用該功能。取而代之的是,DHI 使用 Cosign 進行簽章,提供更高層級的真實性和完整性。透過以符合 CIS 標準的 DHI 作為起點,團隊可以更快、更自信地採用基準中的映像檔層級最佳實踐。

注意

CIS Docker 基準也包含針對主機、守護程序和執行時期的控制項。符合 CIS 標準的 DHI 僅解決映像檔和 Dockerfile 範圍(第 4 節)。整體合規性仍取決於您如何配置和運作更廣泛的環境。

識別符合 CIS 標準的映像檔

符合 CIS 標準的映像檔在 Docker 強固映像檔目錄中標記為 CIS。若要找到它們,請瀏覽映像檔並在個別列表中尋找 CIS 標誌。

取得基準

直接從 CIS 下載最新的 CIS Docker 基準:https://www.cisecurity.org/benchmark/docker

© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.