Catálogo canónico de requisitos de segurança para containers e imagens (CNT-001 a CNT-012), com aplicabilidade por nível de risco e critérios de aceitação para selecção de imagens base, hardening, assinatura, scanning, políticas de runtime e acesso a registries.
Identificação e definição dos domínios técnicos e operacionais a monitorizar em sistemas modernos.
Aplicação automática de políticas formais para bloquear execuções não conformes, sem substituir decisão humana
Aplicação e verificação efetiva de práticas de segurança, isolamento e controlo para workloads containerizados
Minimização, reforço e verificação efetiva de permissões em imagens e ambientes containerizados
Seleção, reforço e validação de imagens base seguras para containers
Padrões operacionais para servir modelos AI auto-alojados (vLLM, Ollama, TGI, llama.cpp, NVIDIA Triton) — isolamento de workload, gestão de pesos, protecção da inferência, hardening específico de containers AI.
Responsabilidades de Operações no SbD-ToE
Política organizacional que define os requisitos de segurança para a construção, scanning, assinatura, configuração de runtime e gestão de imagens de container, incluindo hardening de securityContext, policies de admissão em Kubernetes, isolamento de rede e monitorização de runtime, proporcional ao nível de criticidade (L1, L2, L3).
Testes dinâmicos em runtime para deteção de vulnerabilidades através da simulação de interações externas.
Instrumentação da aplicação para observação em tempo real de vulnerabilidades durante a execução.