1.4. 安全性与合规性

红帽的信息安全指南与 NIST Cybersecurity Framework 一致，由执行管理进行批准。红帽为全球范围内认证信息安全专家的专业团队维护。请参见以下资源：

红帽具有严格的内部策略和实践来保护我们的客户及其业务。这些策略和实践是机密的。此外，我们遵守所有适用的法律法规，包括与数据隐私相关的规定。

红帽的信息安全角色和职责不由第三方管理。

红帽为我们的公司信息安全管理系统(ISMS)维护一个 ISO 27001 认证，它管理我们所有的人员的工作、公司端点设备以及身份验证和授权实践。通过实施红帽企业安全标准(ESS)到红帽使用的所有基础架构、产品、服务和技术，我们采取了标准化的方法。ESS 的副本在请求时可用。

RHACS Cloud Service 在 Amazon Web Services (AWS)上托管的 OpenShift Dedicated 实例上运行。OpenShift Dedicated 兼容 ISO 27001、ISO 27017、ISO 27018、PCI DSS、SOC 2 类型 2 和 HIPAA。强大的流程和安全控制与行业标准一致，以管理信息安全性。

RHACS 云服务遵循为 Openshift Dedicated 定义的相同安全原则、准则、流程和控制。这些认证展示了我们的服务平台、相关操作和管理实践如何与核心安全要求保持一致。我们遵循 NIST 定义的安全软件开发框架(SSDF)实践（包括构建管道安全性）来满足许多要求。SSDF 控制的实施通过我们的安全软件管理生命周期(SSML)实施，用于所有产品和服务。

红帽成熟的全球站点可靠性工程(SRE)团队可全天候提供，并主动管理集群生命周期、基础架构配置、扩展、维护、安全修复和事件响应，因为它与 RHACS 云服务的托管组件相关。Red Hat SRE 团队负责管理 RHACS Cloud Service control plane 的 HA、正常运行时间、备份、恢复和安全性。RHACS 云服务通过电话或聊天附带 99.95% 的可用性 SLA 和 24x7 RH SRE 支持。

您负责使用该产品，包括实施 OpenShift Container Platform 环境中安全集群组件的策略、漏洞管理和部署。Red Hat SRE 团队管理 control plane，其中包含与之前记录的合规性框架匹配的租户数据，包括：

所有 Red Hat SREs 和开发人员都经过严格的安全开发生命周期培训。

如需更多信息，请参阅以下资源：

红帽在构建过程中扫描产品中的漏洞，以及我们的专用产品安全团队跟踪和评估新发现的漏洞。Red Hat Information Security 定期扫描运行的环境以了解漏洞。

级别为"关键(Critical) "和"关键(Important) "的安全公告(RHSA)，以及级别为"紧急(Urgent) "和精选的程序错误修复公告(RHBA)，一旦可用就会发布。所有其他可用的修复程序和补丁程序都通过定期更新发布。所有受关键或重要严重性漏洞影响的 RHACS 云服务软件都会在相关修复可用后立即更新。有关修复关键或高优先级问题的更多信息，请参阅了解红帽产品安全事件响应计划。

RHACS 云服务目前不包含任何外部安全认证或测试。

红帽信息风险和安全团队已经为我们的信息安全管理系统(ISMS)实现了 ISO 27001:2013 认证。

RHACS 云服务支持与注册表、CI 系统、通知系统、服务Now 和 JIRA 等工作流系统集成，以及安全信息和事件管理(SIEM)平台。有关支持的集成的更多信息，请参阅 集成 文档。自定义集成可以使用 API 或通用 Webhook 来实施。

RHACS 云服务使用基于证书的架构(mTLS)，用于客户站点与红帽之间的所有动态流量进行身份验证和端到端加密。它不需要 VPN。不支持 IP allowlist。数据传输使用 mTLS 加密。不支持文件传输，包括安全 FTP。

RHACS 云服务部署在 Red Hat Enterprise Linux CoreOS (RHCOS)上。RHCOS 中的用户空间是只读的。另外，所有 RHACS 云服务实例都由 RHACS 监控在运行时。红帽为 Windows 和 Mac 平台使用商业可用企业级反关联性解决方案，该解决方案集中管理和记录。基于 Linux 的平台中的 anti-virus 解决方案不是红帽策略的一部分，因为它们可以引入其他漏洞。相反，我们会强化并依赖内置工具（如 SELinux）来保护平台。

红帽将 SentinelOne 和 osquery 用于单独的端点安全性，并在供应商提供更新时对其进行更新。

所有第三方 JavaScript 库都会下载并包含在构建镜像中，这些镜像中会针对漏洞进行扫描。

红帽遵循安全的开发生命周期实践。红帽产品安全团队实践与开放 Web 应用程序安全项目(OWASP)和 ISO12207:2017 均一致。红帽涵盖了 OWASP 项目建议以及其他安全软件开发实践，以增加我们产品的一般安全状况。OWASP 项目分析包含在红帽自动扫描、安全测试和威胁模型中，因为 OWASP 项目根据所选的 CWE 弱点构建。红帽会监控我们的产品中的弱点，以便在问题被利用并成为漏洞前对其进行解决。

如需更多信息，请参阅以下资源：

应用程序会定期扫描，并公开提供该产品的容器扫描结果。例如，在 Red Hat Ecosystem Catalog 网站上，您可以选择组件镜像，如 rhacs-main，点 Security 选项卡查看健康索引和安全更新的状态。

作为红帽政策的一部分，我们所依赖的任何第三方组件都会发布一个支持政策和维护计划。

红帽已发布用于核心红帽产品的软件资料(SBOM)文件。SBOM 是一个机器可读、全面的清单（清单）的软件组件和依赖项，以及许可证和验证信息。SBOM 文件有助于建立对一系列软件应用程序和库的采购和审核情况的评论。SBOMs 与漏洞利用 eXchange (VEX)相结合，可帮助组织解决其漏洞风险评估流程。它们一起提供有关可能存在的潜在风险（其中包括了存在安全漏洞的工件以及此工件和组件或产品之间的关联），以及它们对已知漏洞或漏洞的当前状态。

红帽与其他供应商一起合作定义发布有用的 SBOM 的具体要求，可与通用安全公告框架(CSAF)-VEX 文件关联，并告知消费者及合作伙伴如何使用这些数据。现在，由红帽发布的 SBOM 文件（包括 RHACS 云服务的 SBOM）被视为是客户测试的 beta 版本，并可通过 https://access.redhat.com/security/data/sbom/beta/spdx/ 获得。

有关红帽安全数据的详情，请参阅 红帽安全数据的未来。

红帽使用以下第三方供应商提供订阅支持服务：