确保容器安全：提升联邦机构与企业应用效率的关键

主要重点

联邦机构持续寻求尖端技术，以更好地服务其使命及公众。不久前，国防部和国立卫生研究院等政府机构利用容器技术，以提升互操作性和易用性，进行网页应用的开发与管理。随著开发者更加青睐云原生计算，容器技术的应用对大型企业的运营效率也变得越来越重要。许多《财富》500强公司的技术和金融机构均已采用容器技术，以提升部署、扩展和管理应用的效率。

容器是小巧、快速及可携带的软件单元，它们将代码打包，以便于应用能迅速在不同计算环境中运行，包括桌面、云端、跨多个云以及内部数据中心。根据美国总务管理局GSA的博客文章，容器技术给组织带来了一个独特的机会来现代化旧有应用并开发新应用，从而最大化利用云服务。2021年5月，GSA的数据中心和云优化倡议程序管理办公室发布了一份容器化准备指南，帮助各机构进行容器采用。

随著组织开始采用容器，采取适当的安全检查显得尤为重要，因为针对软件供应链的攻击仍在不断增长。

安全风险

在指出容器的好处的同时，GSA指南也描述了机构领导者应考虑的固有安全风险，例如通过额外软件引入的漏洞、管理不当的金钥与凭证，以及安全配置错误。

嵌入容器映像中的恶意软件是常见的安全威胁，容器所依赖的映像可能本身也存在安全漏洞。2021年8月，提供应用开发、共享与运行平台的Docker就发现了五个恶意容器映像，其代码秘密地使用120000台用户系统进行加密货币挖矿。

联邦政府已将保护容器作为优先任务。2021年3月，联邦风险与授权管理计划FedRAMP发布了容器常见漏洞扫描要求文件，该文件涉及FedRAMP的合规性，针对与使用容器技术的云系统进行漏洞扫描相关的过程、架构和安全考量。

根据FedRAMP指南，使用容器化技术的一些重要风险与威胁包括未验证的外部软件、非标准配置、未监控的容器间通信，以及未经授权的访问。根据GSA指南，组织应制定政策，要求定期扫描这些漏洞或非授权映像源。该指南还建议机构参考[国家标准与技术研究所NIST](https//wwwscworldcom/perspective/compliance/nistscyber