1.4. 安全性与合规性

红帽的信息安全指南与 NIST Cybersecurity Framework 一致，由执行管理进行批准。红帽为全球范围内认证信息安全专家的专业团队维护。请参见以下资源：

红帽具有严格的内部策略和实践来保护我们的客户及其业务。这些策略和实践是机密的。此外，我们遵守所有适用的法律法规，包括与数据隐私相关的规定。

红帽的信息安全角色和职责不由第三方管理。

红帽为我们的公司信息安全管理系统(ISMS)维护一个 ISO 27001 认证，它管理我们所有的人员的工作、公司端点设备以及身份验证和授权实践。通过实施红帽企业安全标准(ESS)对红帽使用的所有基础架构、产品、服务和技术，我们采取了标准化的方法。ESS 的副本在请求时可用。

RHACS Cloud Service 在 Amazon Web Services (AWS)上托管的 OpenShift Dedicated 实例上运行。OpenShift Dedicated 兼容 ISO 27001、ISO 27017、ISO 27018、PCI DSS、SOC 2 类型 2 和 HIPAA。强大的流程和安全控制与行业标准一致，以管理信息安全性。

RHACS 云服务遵循为 OpenShift Dedicated 定义的相同安全原则、准则、流程和控制。这些认证展示了我们的服务平台、相关操作和管理实践如何与核心安全要求保持一致。我们遵循 NIST 定义的安全软件开发框架(SSDF)实践（包括构建管道安全性）来满足许多要求。SSDF 控制的实施通过我们的安全软件管理生命周期(SSML)实施，用于所有产品和服务。

红帽成熟的全球站点可靠性工程(SRE)团队可全天候提供，并主动管理集群生命周期、基础架构配置、扩展、维护、安全修复和事件响应，因为它与 RHACS 云服务的托管组件相关。Red Hat SRE 团队负责管理 RHACS Cloud Service control plane 的 HA、正常运行时间、备份、恢复和安全性。RHACS 云服务通过电话或聊天附带 99.95% 的可用性 SLA 和 24x7 RH SRE 支持。

您负责使用该产品，包括实施 OpenShift Container Platform 环境中安全集群组件的策略、漏洞管理和部署。Red Hat SRE 团队管理 control plane，其中包含与之前记录的合规性框架匹配的租户数据，包括：

所有 Red Hat SREs 和开发人员都经过严格的安全开发生命周期培训。

如需更多信息，请参阅以下资源：

红帽遵循安全的开发生命周期实践。红帽产品安全团队实践与开放 Web 应用程序安全项目(OWASP)和 ISO12207:2017 均一致。红帽涵盖了 OWASP 项目建议以及其他安全软件开发实践，以增加我们产品的一般安全状况。OWASP 项目分析包含在红帽自动扫描、安全测试和威胁模型中，因为 OWASP 项目根据所选的 CWE 弱点构建。红帽会监控我们的产品中的弱点，以便在问题被利用并成为漏洞前对其进行解决。

如需更多信息，请参阅以下资源：

应用程序会定期扫描，并公开提供该产品的容器扫描结果。例如，在 Red Hat Ecosystem Catalog 网站上，您可以选择组件镜像，如 rhacs-main，点 Security 选项卡查看健康索引和安全更新的状态。

作为红帽政策的一部分，我们所依赖的任何第三方组件都会发布一个支持政策和维护计划。