Compartir comentarios
Las respuestas se generan en base a la documentación.

STIG

Tabla de contenidos
Suscripción: Docker Hardened Images Select o Enterprise

¿Qué es STIG?

Las Security Technical Implementation Guides (STIG) son estándares de configuración publicados por la U.S. Defense Information Systems Agency (DISA). Definen los requisitos de seguridad para sistemas operativos, aplicaciones, bases de datos y otras tecnologías utilizadas en los entornos del U.S. Department of Defense (DoD).

Las STIG ayudan a garantizar que los sistemas estén configurados de manera segura y consistente para reducir las vulnerabilidades. A menudo se basan en requisitos más amplios, como la General Purpose Operating System Security Requirements Guide (GPOS SRG) del DoD.

Por qué es importante la guía STIG

Seguir la guía STIG es crítico para las organizaciones que trabajan con o dan soporte a los sistemas del gobierno de los EE. UU. Demuestra la alineación con los estándares de seguridad del DoD y ayuda a:

  • Acelerar los procesos de Autorización para Operar (ATO) de los sistemas del DoD
  • Reducir el riesgo de configuraciones incorrectas y debilidades explotables
  • Facilitar las auditorías y los informes a través de líneas base estandarizadas

Incluso fuera de los entornos federales, las STIG son utilizadas por organizaciones conscientes de la seguridad como un benchmark para configuraciones de sistemas endurecidos.

Las STIG se derivan de directrices más amplias del NIST, en particular de la NIST Special Publication 800-53, que define un catálogo de controles de seguridad y privacidad para sistemas federales. Las organizaciones que buscan cumplir con la norma 800-53 o marcos relacionados (como FedRAMP) pueden utilizar las STIG como guías de implementación que ayudan a cumplir con los requisitos de control aplicables.

Cómo ayudan las Docker Hardened Images a aplicar la guía STIG

Las Docker Hardened Images (DHI) incluyen variantes STIG que se escanean contra perfiles personalizados basados en STIG e incluyen atestaciones de escaneo STIG firmadas. Estas atestaciones pueden respaldar auditorías e informes de cumplimiento.

Aunque las Docker Hardened Images están disponibles para todo el mundo, la variante STIG requiere una suscripción de Docker.

Docker crea perfiles personalizados basados en STIG para imágenes a partir de la GPOS SRG y la Guía del Proceso de Endurecimiento de Contenedores del DoD. Dado que la DISA no ha publicado una STIG específica para contenedores, estos perfiles ayudan a aplicar directrices similares a STIG en entornos de contenedores de manera consistente y revisable, y están diseñados para reducir los falsos positivos comunes en las imágenes de contenedor.

Identificar imágenes que incluyen resultados de escaneo STIG

Las Docker Hardened Images que incluyen resultados de escaneo STIG están etiquetadas como STIG en el catálogo de Docker Hardened Images.

Para encontrar repositorios DHI con variantes de imagen STIG, explora las imágenes y:

  • Utiliza el filtro STIG en la página del catálogo
  • Busca etiquetas STIG en los listados de imágenes individuales

Para encontrar una variante de imagen STIG dentro de un repositorio, ve a la pestaña Tags del repositorio y busca imágenes etiquetadas con STIG en la columna Compliance.

Utilizar una variante STIG

Para utilizar una variante STIG, debes replicar (mirror) el repositorio y luego descargar la imagen STIG desde tu repositorio replicado.

Visualizar y verificar los resultados de escaneo STIG

Docker proporciona una atestación de escaneo STIG firmada para cada imagen lista para STIG. Estas atestaciones incluyen:

  • Un resumen de los resultados del escaneo, que incluye el número de comprobaciones aprobadas, fallidas y no aplicables
  • El nombre y la versión del perfil STIG utilizado
  • Salida completa en formatos HTML y XCCDF (XML)

Visualizar atestaciones de escaneo STIG

Puedes recuperar e inspeccionar una atestación de escaneo STIG utilizando la CLI de Docker Scout:

$ docker scout attest get \
  --predicate-type https://docker.com/dhi/stig/v0.1 \
  --verify \
  --predicate \
  dhi.io/<image>:<tag>

Extraer informe HTML

Para extraer y ver el informe HTML legible para humanos:

$ docker scout attest get dhi.io/<image>:<tag> \
  --predicate-type https://docker.com/dhi/stig/v0.1 \
  --verify \
  --predicate \
  | jq -r '.[0].output[] | select(.format == "html").content | @base64d' > stig_report.html

Extraer informe XCCDF

Para extraer el informe XML (XCCDF) para la integración con otras herramientas:

$ docker scout attest get dhi.io/<image>:<tag> \
  --predicate-type https://docker.com/dhi/stig/v0.1 \
  --verify \
  --predicate \
  | jq -r '.[0].output[] | select(.format == "xccdf").content | @base64d' > stig_report.xml

Visualizar resumen de escaneo STIG

Para ver únicamente el resumen del escaneo sin los informes completos:

$ docker scout attest get dhi.io/<image>:<tag> \
  --predicate-type https://docker.com/dhi/stig/v0.1 \
  --verify \
  --predicate \
  | jq -r '.[0] | del(.output)'