声明

以下是关于本书的声明。

许可

本出版物由 NIST 根据 2014 年《联邦信息安全现代化法案》(FISMA)(44 U.S.C. §3551 etseq)规定的法定职责编写,公共法律(P.L.)113-283。NIST 负责制定信息安全标准和准则,包括联邦信息系统的最低要求,但这些标准和准则在未经对国家安全系统行使策略权力的适当联邦官员明确批准的情况下,不得适用于这些系统。本准则与管理和预算办公室(OMB)A-130 号通知的要求一致。

本出版物中的任何内容都不应被视为与商务部长根据法定授权对联邦机构的强制性和约束性标准和准则相抵触。这些准则也不应被解释为改变或取代商务部长、OMB 主任或任何其他联邦官员的现有权力。本出版物可由非政府组织在自愿的基础上使用,在美国不受版权限制。但是,请注明出处,NIST 将对此表示感谢。

国家标准和技术研究所特别出版物 800-204C Natl.Inst. Stand.Technol.Spec.800-204C, 45 pages (March 2022) CODEN: NSPUE2

本出版物可从以下网站免费获取。

https://doi.org/10.6028/NIST.SP.800-204C

关于计算机系统技术的报告

美国国家标准与技术研究所(NIST)的信息技术实验室(ITL)通过为国家的测量和标准基础设施提供技术领导来促进美国经济和公共福利。ITL 开发测试、测试方法、参考数据、概念实施证明和技术分析,以推动信息技术的发展和生产性使用。ITL 的职责包括为联邦信息系统中与国家安全无关的信息制定管理、行政、技术和物理标准和准则,以实现低成本的安全和隐私。

摘要

云原生应用已经发展成为一个标准化的架构,由多个松散耦合的组件组成,这些组件被称为微服务(通常通常以容器实现),由提供应用服务的基础设施(如服务网格)支持。这两个组件通常都被托管在一个容器调度和资源管理平台上。在这个架构中,应用环境中涉及的整套源代码可以分为五种类型:1)应用代码(体现应用逻辑);2)应用服务代码(用于会话建立、网络连接等服务);3)基础设施即代码(用于配置计算、网络和存储资源);4)策略即代码(用于定义运行时策略,如以声明性代码表达的零信任);5)可观测性即代码(用于持续监测应用运行时状态)。由于安全、商业竞争力和松散耦合的应用组件的固有结构,这类应用需要一个不同的开发、部署和运行时范式。DevSecOps(分别由开发、安全和运维的首字母缩写组成)已经被发现是这些应用的促进范式,其基本要素包括持续集成、持续交付和持续部署(CI/CD)管道。这些管道是将开发者的源代码通过各个阶段的工作流程,如构建、测试、打包、部署和运维,由带有反馈机制的自动化工具支持。本文的目的是为云原生应用的 DevSecOps 原语的实施提供指导,其架构和代码类型如上所述。本文还讨论了这种方法对高安全保障和实现持续运维授权(C-ATO)的好处。

鸣谢

作者首先要感谢 NIST 的 David Ferraiolo,他发起了这项工作,为基于微服务的应用中服务网格的开发、部署和监控提供了有针对性的 DevSecOps 原语实施指导。衷心感谢美国空军 CSO Nicolas Chaillan 先生,感谢他详细而有见地的审查和反馈。还要感谢 Tetrate 公司的 Zack Butcher 为本文标题提供的建议。作者还对 NIST 的 Isabel Van Wyk 的详细编辑审查表示感谢。

专利披露通知

通知:信息技术实验室(ITL)已要求专利权持有人向 ITL 披露其使用可能需要遵守本出版物的指导或要求的专利权。然而,专利持有人没有义务回应 ITL 的专利要求,ITL 也没有进行专利搜索,以确定哪些专利可能适用于本出版物。

截至本出版物发布之日,以及在呼吁确定可能需要使用其来遵守本出版物的指导或要求的专利权利要求之后,ITL 没有发现任何此类专利权利要求。

ITL 没有作出或暗示在使用本出版物时不需要许可证以避免专利侵权。