CIS 基準

什麼是 CIS Docker Benchmark？

CIS Docker Benchmark 是由網際網路安全中心 (CIS) 開發的全球公認 CIS Benchmarks 的一部分。它為 Docker 容器生態系統的所有方面定義了推薦的安全配置，包括容器主機、Docker 守護程序、容器映象和容器執行時。

為什麼 CIS Benchmark 合規性很重要

遵循 CIS Docker Benchmark 有助於組織

透過廣泛認可的強化指南降低安全風險。
滿足引用 CIS 控制的法規或合同要求。
在團隊之間標準化映象和 Dockerfile 實踐。
透過基於公共標準的配置決策展示審計準備就緒狀態。

Docker 強化映象如何符合 CIS Benchmark

Docker 強化映象 (DHI) 在設計時考慮了安全性，並經過驗證，符合最新的 CIS Docker Benchmark (v1.8.0) 中適用於容器映象和 Dockerfile 配置範圍的相關控制。

符合 CIS 的 DHI 符合第 4 節中的所有控制，但要求 Docker Content Trust (DCT) 的控制除外，因為 Docker 已正式停用該功能。相反，DHI 使用 Cosign 進行簽名，提供了更高的真實性和完整性。透過從符合 CIS 的 DHI 開始，團隊可以更快、更自信地採用 benchmark 中的映象級最佳實踐。

注意
CIS Docker Benchmark 還包括對主機、守護程序和執行時的控制。符合 CIS 的 DHI 僅處理映象和 Dockerfile 範圍（第 4 節）。整體合規性仍取決於您如何配置和操作更廣泛的環境。

識別符合 CIS 的映象

符合 CIS 的映象在 Docker 強化映象目錄中標記為 **CIS**。要找到它們，請瀏覽映象並在各個列表中查詢 **CIS** 標記。

獲取 Benchmark

直接從 CIS 下載最新的 CIS Docker Benchmark：https://www.cisecurity.org/benchmark/docker