docker基线-概述

本文档面向计划开发，部署，评估或保护包含Docker 1.13.0或更高版本技术解决方案的系统和 应用程序管理员，安全专家，审计人员，服务和平台部署人员。

1 目标读者

本文档——“CIS Docker 1.13.0基线” ——提供了有关为Docker容器版本1.13.0建立安全配置状态的说明性指导。 本指南在RHEL 7和Debian 8上针对Docker 1.13.0进行了测试。

2 共识指导

这个基线是由领域专家组成的共识评审流程创建的。 共识参与者提供来自不同背景的观点，包括咨询， 软件开发，合规审计，安全研究，运营，政府和法律。

每个CIS基线经历两个阶段的共识评审。第一阶段发生在初始基线开发阶段。 在这个阶段，领域专家召集讨论，创建和测试基线的草案。 这个讨论发生在基线建议达成共识之前。 第二阶段在基线发布后。 在这个阶段，互联网社区提供的所有反馈都由共识团队审查，以纳入基线。

3 评分说明

评分状态表示符合给定建议是否影响评估目标的基线评分。 这个基线使用以下得分状态：

评分状态	含义
Scored	不遵守 “Scored” 建议将会降低最终的基线分数。 遵守 “Scored” 建议将会增加最终的基线分数。
Not Socred	不遵守 “Not Socred” 建议不会降低最终的基线分数。 遵守 “Not Socred” 的建议不会增加最终的基线分数。

4 配置文件定义

基线定义以下配置文件：

• Level 1- Docker

  此配置文件中的项目：

  • 审慎务实；

  • 有明确的安全益处；

  • 不能以超出可接受的方式来限制技术的效用。

• Level 1- Linux Host OS

  此配置文件中的项目适用于Linux主机操作系统，同时：

  • 审慎务实；

  • 有明确的安全益处；

  • 不能以超出可接受的方式来限制技术的效用。

• Level 2 - Docker

  此配置文件中的项目具有以下一个或多个特征：

  • 旨在用于安全性至关重要的环境或用例；

  • 作为纵深防御措施；

  • 可能会负面地抑制该技术的使用或性能。