解读

面试官想知道：

1. 你是否理解中国跨境数据合规三法（网安法、数安法、个保法）对“数据处理活动留痕”的刚性要求；
2. 能否在容器短生命周期场景下，把运行时事件、网络外发、镜像内容、宿主机操作四维度证据一次性导出成执法机构认可的格式；
3. 是否具备最小化业务中断的取证思路，避免“关机拉硬盘”式野蛮操作。

知识点

1. Docker 原生审计链：daemon 事件、containerd 命名空间日志、oci-runtime（runc）钩子、overlayfs 差异层。
2. 镜像级 SBOM：syft/tern 生成软件物料清单，可对照工信部《开源软件备案》要求。
3. 运行时审计：
   • kube-audit（若在 Swarm 则对应 dockerd 的 --log-driver=journald + rsyslog 转发）；
   • Falco/eBPF 捕获进程、文件、外联 IP；
   • iptables/netfilter LOG 模块记录跨境流量。
4. 证据固定：
   • 只读层打包：docker save + tar -czf --mtime='@0' 固化镜像哈希；
   • 运行时 diff：docker export $(docker create --rm <image>) | sha256sum 生成差异摘要；
   • 日志链校验：rsyslog + imfile 模块写入只写一次存储（WORM S3 或物理蓝光），启用国密 SM3 哈希与时间戳服务器（TSA）双签名。
5. 输出格式：
   • XML+PDF 双份，XML 供监管部门自动稽核，PDF 附人读截图；
   • 目录结构：
     1. 案件号_容器ID_镜像哈希；
     2. SBOM.json；
     3. runtime_audit.log；
     4. 网络流量pcap（仅含被查五元组，已脱敏）；
     5. 宿主机 systemd 日志切片；
     6. 数字签名证书链（RSA+SM2 双证书，符合 GM/T 0031）。
6. 敏感数据过滤：使用**工信部《跨境数据出境安全评估指南》**附录 C 的正则模板，自动替换身份证、手机号、GPS 坐标，保留审计所需字段。
7. 自动化工具链：
   • docker-bench-security 生成合规基线；
   • inspektor-gadget 一键导出容器内核事件；
   • 自研脚本 docker-compliance-report.sh，10 分钟内完成证据打包，MD5+SM3 双摘要写入文件名，防止事后抵赖。

答案

“收到监管协查函后，我会在三小时内完成以下动作：

1. 立即把涉事容器冻结——不停止，而是用 docker pause 并设置 --restart=no，保证内存状态不变；
2. 通过 Falco+eBPF 把近 7 天的进程、文件、网络事件导出成 JSON 审计日志，同时用 iptables LOG 抓取该容器 PID 命名空间对应的外联 IP，确认是否存在跨境传输；
3. 用 docker save <image:tag> | gzip -c | sm3sum 生成镜像国密摘要，并调用 TSA 时间戳服务器盖章，固化镜像原始状态；
4. 运行 syft 生成 SBOM，再跑 grype 做漏洞对照，证明没有已知后门；
5. 把宿主机的 systemd-journald 里该容器 cgroup 路径切片，结合 **/var/lib/docker/containers/<id>/` 下的本地日志，统一打成只读压缩包；
6. 用自研脚本按案件号_容器ID_时间戳命名，输出 XML+PDF 双格式报告，内含数字签名与WORM 存储路径，最后通过加密邮件或数据交换平台提交给执法部门，全程录像留痕，确保单写多读、不可篡改。”

拓展思考

1. 若容器已销毁，仅保留镜像，如何重建运行时态并补录审计？——可用 CRIU+checkpoint/restore 技术，结合旧镜像与网络流量回放，补全进程树。
2. 在多云混合场景，跨可用区容器漂移后日志碎片化，如何统一证据视图？——建议提前部署 Loki/Vector 全局日志池，并用国密 TLS 通道实时汇聚，审计时按 trace-id 拼接。
3. 未来 Docker Desktop 中国版可能内置监管侧探针，面试时可主动提及“愿意参与探针标准化，对接国家互联网应急中心（CNCERT）API”，体现政策前瞻性。