1 概述
安全基线,是借用“基线”的概念。字典上对“基线”的解释是:一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线。类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,或者说,是最低的安全要求。
安全基线也是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。例如是否存在不允许的用户账号、账号的口令策略存在一定问题(不满足复杂度、长度、更改时间的要求)、只有管理员或者特定用户才有权更改特定配置文件等等。这些安全配置直接反映了系统自身的安全脆弱性。举个简单的例子:如果没有配置安全基线,很容易使人或者代码利用安全基线弱点攻击服务器。比如弱密码,由于未部署服务器账户口令复杂的策略,导致很容易被暴力猜测服务器管理员账户的口令。有了口令之后就可以很轻松的进行配置的修改,添加私密操作的系统账号、建立远程连接服务等操作,导致最后服务器失陷等。可以说安全基线设置是否严格以及是否产生变化成为防范恶意攻击的最后一道防线。
信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求,也就无法承受由此带来的安全风险,而非基本安全需求的满足同样会带来超额安全成本的付出,所以构造信息系统安全基线己经成为系统安全工程的首要步骤,同时也是进行安全评估、解决信息系统安全性问题的先决条件。
1.1 背景
其一,近些年来,容器技术迅速席卷全球,颠覆了应用的开发、交付和运行模式,在云计算、互联网等领域得到了广泛应用。相对于传统虚拟机技术,容器技术具有节省资源、快速部署、易于移植、弹性伸缩等优势,可整体提高IT资源利用率与交付效率,