解读

等保 2.0 把容器平台归入“云计算扩展要求”，三级属于“监督保护级”，一旦系统被定级为三级，容器层就必须在身份鉴别、授权、访问控制策略、最小权限、特权容器、镜像来源、审计联动七个维度给出可落地的技术证据。面试时，考官想确认两点：

1. 你能否把通用等保条款翻译成容器场景的具体措施；
2. 你是否知道Docker/Moby、Kubernetes、Registry、CI/CD各层分别由谁承担哪条要求。
   回答必须逐条对应条款编号，并给出Docker 自身技术点的实现方法，否则会被判“只背标准、不会落地”。

知识点

1. 等保 2.0 三级通用要求：安全区域边界→访问控制（8.1.3）、安全计算环境→访问控制（8.1.4）。
2. 云计算扩展要求：访问控制（8.5.3），明确提到“容器隔离与访问控制”。
3. Docker 相关对象：
   • Docker Engine 的 authZ 插件（–authorization-plugin）
   • Docker Daemon 的 TLS 双向证书
   • Registry 的基于 Token 的 Bearer 认证（Docker Registry v2）
   • Linux Capabilities、seccomp、AppArmor/SELinux 最小权限
   • User Namespace、rootless daemon
   • Swarm RBAC 或 Kubernetes RBAC
4. 关键动词：“应”表示强制，“宜”表示推荐；三级现场测评时“应”项必须提供截图或命令行证据。

答案

以下 8 条为等保 2.0 三级对容器平台的强制访问控制要求，每条均给出条款溯源与Docker 落地方法，可直接写进测评报告：

1. 身份唯一性（8.1.4.1）
   容器平台应支持多因素身份鉴别；Docker Daemon 必须开启TLS 双向认证，禁用 2375 明文端口；Harbor/Registry 对接企业AD/LDAP或OIDC，禁止继续使用默认 admin/admin。

2. 基于角色的授权模型（8.5.3.1）
   平台应提供RBAC；Docker Swarm 启用**–authorization-plugin**，使用内置 role（none、view、restricted、scheduler、admin）；若用 Kubernetes，则必须打开**–authorization-mode=RBAC**，并禁止 cluster-admin 泛滥绑定。

3. 最小权限原则（8.5.3.2）
   容器应以非 root 用户运行；Dockerfile 中显式 USER 1000:1000，并配合**–cap-drop=ALL –cap-add=仅所需能力**；禁止**–privileged特权容器，若确需，应通过审批工单+审计日志**双重留痕。

4. 网络微分段（8.5.3.3）
   平台应支持东西向流量访问控制；Docker 使用overlay 网络+Libnetwork 驱动，启用**–icc=false关闭容器间直通，iptables 规则由Swarm ingress 或 Calico NetworkPolicy下发，策略变更应与CMDB 工单系统**联动。

5. 镜像来源控制（8.5.3.4）
   仅允许可信镜像仓库；Docker Engine 配置**–insecure-registry 白名单为空**，Content Trust（DOCKER_CONTENT_TRUST=1）强制签名；Harbor 开启镜像漏洞扫描+策略引擎，阻断 CVE≥中危且未修复的镜像启动。

6. Secrets 与配置加密（8.1.4.8 & 8.5.3.5）
   密钥、令牌应通过Docker Swarm Secrets或K8s Secret分发，禁止写死 ENV；Secret 文件挂载为 tmpfs，应启用TLS 加密 etcd；测评时应出示etcd 加密状态截图。

7. 特权指令与危险挂载管控（8.5.3.6）
   平台应限制**–cap-add=SYS_ADMIN、–device、/var/run/docker.sock 挂载**；Docker Daemon 开启**–authorization-plugin=opa**，使用OpenPolicyAgent规则实时拦截含敏感字段的 API 调用；应提供OPA 决策日志备查。

8. 审计与不可抵赖（8.1.4.9 & 8.5.3.7）
   所有访问事件应留存**≥6 个月**；Docker 开启**–log-driver=json-file –log-opts max-size=100m**，Daemon 审计日志输出到rsyslog→ELK；应能追溯到**“谁在什么时间对哪个容器执行了 exec 进入”，并与4A 平台关联实现实名追溯**。

拓展思考

1. 混合云场景：若容器平台部署在公有云 ECS上，仍需满足等保 2.0 云计算扩展要求，但底层物理基础设施由云服务商承担，测评报告需双方责任分离描述；面试时可主动提及“云服务商提供的是等保三级 IaaS 基线，我们容器平台做的是 PaaS 层加固”，体现责任共担模型理解。

2. 测评现场高频命令：

   • docker info | grep -i authorization
   • ps aux | grep dockerd 查看是否带 –tlsverify –tlscacert
   • docker inspect <容器ID> | jq .[0].HostConfig.Privileged
   • curl -u user:pass https://registry:5000/v2/_catalog 验证 Registry 认证开启
     提前准备一键脚本，可让测评老师现场复现，大幅提升信任度。

3. 持续合规：等保不是“一次测评永久有效”，重大版本升级/镜像仓库迁移/集群扩容都需重新评审；建议在 CI/CD 中嵌入OPA Conftest，每次构建自动扫描 Dockerfile 与 K8s YAML，阻断含 –privileged、latest 标签、非指定 registry 的变更，实现DevSecOps 下的持续等保。