2024年9月26日，中国信通院于中国·2024高层论坛-云原生发展论坛正式发布业内重要标准《云原生安全配置基线》。

　　配置错误是云原生安全领域的最大风险之一，错误的集群、运行时、工作负载安全配置会导致重大安全漏洞、隐私数据泄露、重要服务停机等严重的安全事件翻墙机场clash，对企业造成巨大的人力、财力等多方面损失，因此云原生安全配置基线是企业共同关注的焦点。

　　在此背景下，2023年中国信通院联合多家用云单位、云服务商、安全企业开启《云原生安全配置基线规范》标准的编写工作，于今年开展全面升级和修订工作，开展广泛的实践评估，形成了《云原生安全配置基线高层论坛-云原生发展论坛正式发布。

　　大部分产业都选择美国NIST SP800-53或 广泛认可的CIS标准，但当前拒绝中国大陆访问，构建国内自身的安全配置基线需求迫在眉睫。其实早在2023年7月，中国信通院已经发布业内首个云原生安全配置基线标准，但《云原生安全配置基线》版本存在诸多不足，无法供企业直接应用。

　　本文件适用于指导云原生安全Kubernetes配置基线建设和相关云原生安全产品基线扫描能力建设，推荐使用Kubernetes 1.23或更高版本以确保安全性。

　　《云原生安全配置基线》是国内首个针对云原生安全配置的基线规范的升级与修订，其规定了云原生安全配置基线扫描应具备的基础规范要求（此处云原生安全配置相对狭义，仅聚焦于kubernetes及其之上的运行时、工作负载要求）。云原生安全配置基线扫描规范要求包括kubernetes集群安全配置、容器运行时安全配置、镜像安全配置，以及工作负载安全配置。

　　Kubernetes是容器编排的事实标准，是实施云原生安全防护重点。本标准将对Kubernetes的组件的安全配置进行严格的规范要求，包括Kubernetes的核心组件API Server、控制管理器、调度器、etcd，节点组件kubelet、kube-proxy，以及其cri插件和网络策略的相关安全配置。

　　容器运行时涉及容器镜像的完整性、运行时的权限限制、网络隔离以及敏感数据的保护。正确的安全配置要求可以防止未授权访问、数据泄露和容器逃逸等安全威胁，确保容器化应用的稳定性和可靠性。

　　工作负载安全配置聚焦启动安全、身份认证和访问控制、信息保护、资源配额保护等方面的配置要求，旨在能够通过基础的安全策略配置实现容器安全。

　　镜像安全配置对于维护容器化环境的安全性至关重要。它涉及到确保镜像本身不包含已知漏洞、恶意软件或不必要的软件包，从而减少攻击面。正确的安全配置可以防止未授权访问，保护容器免受外部攻击，并且有助于遵守合规性要求。此外，良好的镜像安全实践有助于减少系统资源的滥用，确保容器的稳定性和性能。简而言之，镜像安全配置是构建可信和安全的容器化应用程序的基础。

　　《云原生安全配置基线》通过建立详细的指标项，详尽记录基线配置的检查方法和恢复方法，为云原生安全配置制定完善的安全配置要求，保障云原生安全底线。未来，中国信通院会持续开展广泛的实践评估，建立基线修订小组，持续完善、改进《云原生安全配置基线规范》，为企业的安全运行保驾护航。《云原生安全配置基线》将会于可信云官网公开整体规范内容，请各位专家前往可信云官网-新闻中心查看。

　　云原生安全配置评估包含对Kubernetes安全配置、容器运行时安全配置、镜像安全配置、工作负载安全配置评估四大类，17个能力子项。

　　评估企业可自由选择进行整体评估或单个评估，全面衡量云原生安全配置情况。评估结果将根据企业类型不同分为云厂商版、企业用户版、安全厂商版。

　　合同确认后，我们会安排测试人员对接，向参评企业提供详细测试方法，并根据准备情况排期开展正式评估。

　　预计2024年中相关大会上对企业通评结果进行集中发布。专家评审通过之后，可获得可信云权威证书。证书将在可信云官网（）同步更新。