Auto-sync: 2026-04-19 16:02

wiki/sources/ctp-topic-49-container-lifecycle-hardening-standards.md

@@ -0,0 +1,48 @@
+---
+title: "CTP Topic 49 Container Lifecycle Hardening Standards"
+type: source
+tags: [Container, Security, Hardening, CTP, Micro Focus]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-49-container-lifecycle-hardening-standards.md]]
+
+## Summary
+- 核心主题：Micro Focus 容器生命周期加固标准，聚焦构建阶段的安全最佳实践
+- 问题域：容器镜像安全、运行时安全配置、供应链安全
+- 方法/机制：11 项容器镜像构建标准，涵盖基础镜像选择、敏感信息管理、文件系统加固、镜像扫描等
+- 结论/价值：为容器化应用提供系统化的安全加固指导，降低容器被攻破的风险
+
+## Key Claims
+- 使用 Micro Focus 基础镜像可避免开源默认镜像的已知漏洞
+- 采用 init 系统（如 teeny）可处理信号并防止僵尸进程耗尽资源
+- 敏感信息不应嵌入容器镜像，应使用 Kubernetes Secrets 在运行时获取
+- 只读文件系统（readOnlyRootFilesystem=true）可防止未授权文件创建
+- 每个容器应只运行一个应用程序，防止进程间相互干扰
+- 禁用容器内 Kubernetes API 访问（automountServiceAccountToken=false）可限制潜在 compromise 的影响范围
+- 应使用私有服务账户而非默认服务账户，控制权限并最小化权限提升
+
+## Key Quotes
+> "Use micro focus base image which are configured to be secure with non and trust weighted components." — Ashish, Product Security Group
+> "If one application is compromised process in one application can interfere with the process of other application in the same container." — 标准说明
+
+## Key Concepts
+- [[Container-Lifecycle-Hardening]]：容器全生命周期（构建、部署、运行）的安全加固实践
+- [[Container-Image-Scanning]]：使用扫描工具识别容器镜像中的漏洞
+- [[Read-Only-Root-Filesystem]]：将容器根文件系统设为只读的安全配置
+- [[Init-System]]：容器内的初始化进程，用于处理信号和回收僵尸进程
+- [[Kubernetes-Service-Account]]：Kubernetes 中用于 Pod 身份认证的机制
+
+## Key Entities
+- [[Micro Focus]]：企业软件公司，产品安全组制定本标准
+- [[Kubernetes]]：容器编排平台，本标准主要针对 K8s 环境
+- [[Ashish]]：Product Security Group 安全专家，本课程讲师
+
+## Connections
+- [[Container-Lifecycle-Hardening]] ← applies_to ← [[Micro Focus]]
+- [[Container-Image-Scanning]] ← depends_on ← [[Kubernetes]]
+- [[CTP Topic 21 Supply Chain Security in Micro Focus]] ← relates_to ← 本标准（供应链安全）
+
+## Contradictions
+- 本标准专注于构建阶段，部署和运行阶段的标准将在后续会议中覆盖