Geriausia saugumo praktika – sukurkite tvirtą dokų konteinerį

Apsaugokite savo „Docker“ konteinerį …


„Docker“ nuėjo ilgą kelią, nuosekliai stengdamasis sukurti labai funkcionalų, tačiau saugų produktą, pateikti geriausią praktiką ir puikiai reaguoti į bet kokį pažeidžiamumą ar problemas..

Nuo pat įkūrimo „Docker“ įvaikinimas kasmet žymiai išaugo. Kruopščiai nustatant, be jokio nežinojimo, „Docker“ tampa galingu turtu, už kurį, be abejo, tu garantuosi savo IT praktikai..

Užtikrinti konteinerių aplinkos apsaugą reikia ne tik užkietėjus konteineriams ar serveriams, kuriuose jie galiausiai veikia, bet ir turi būti strategiškai pasirūpinta kiekvienu minusiniu veiksmu nuo konteinerio atvaizdo ištraukimo iš registro iki konteinerio stumimo. į gamybos pasaulį.

Kadangi konteineriai paprastai yra naudojami „DevOps“ greičiu kaip CI / CD sistemos dalis, būtina gauti daugiau automatizuotų užduočių, kurios padidina efektyvumą, produktyvumą, auditą / registravimą ir tokiu būdu apsauginių klausimų tvarkymą..

Toliau pateikiama su saugumu susijusios geriausios praktikos apžvalga, kuria turėtumėte pasirūpinti priimdami „Docker“.

Autentiškas dokininko atvaizdas

Kūrėjai daug laiko naudojosi pagrindiniais „Docker“ vaizdais, o ne kūrė iš naujo. Tačiau atsisiųsdami šiuos vaizdus iš nepatikimų šaltinių galite padidinti saugos spragas.

Todėl nepralaidžia, prieš atsisiųsdami vaizdą, patikrinkite jo autentiškumą, laikydamiesi šių atsargumo priemonių:

  • Bazinio vaizdo naudojimas iš patikimų šaltinių, tokių kaip „Docker Hub“ kuriame yra vaizdų, kuriuos nuskaito ir peržiūri „Docker“ saugos nuskaitymo tarnybos.
  • Naudojant bazinį vaizdą, pasirašytą skaitmeniniu būdu „Docker Content Trust“, kuris apsaugo nuo klastojimo.

Įgaliota prieiga

Dirbant didelėse komandose, labai svarbu sukonfigūruoti vaidmenimis pagrįstą prieigos valdymą (RBAC) savo „Docker“ konteinerių krūvai. Didelės įmonės organizacijos naudoja katalogų sprendimus, tokius kaip „Active Directory“, kad tvarkytų prieigą ir leidimus programoms visoje organizacijoje.

Svarbu turėti gerą „Docker“ prieigos valdymo sprendimą, kuris konteinerius galėtų naudoti su minimaliomis privilegijomis ir prieiga, reikalinga atlikti užduotį, o tai savo ruožtu sumažina rizikos veiksnį..

Tai padeda pasirūpinti didėjančio vartotojų skaičiaus masteliu.

Neskelbtinos informacijos valdymas

Pagal Daktaras spiečius paslaugos, paslaptys yra neskelbtini duomenys, kurie neturėtų būti perduodami ar saugomi nešifruotai „Dockerfile“ ar programos šaltinio kode..

Paslaptys yra neskelbtina informacija, tokia kaip slaptažodžiai, SSH raktai, žetonai, TLS sertifikatai ir tt. Paslaptys užšifruojamos tranzito metu ir ramybės būsenoje. Paslaptis gali naudotis tik tos tarnybos, kurioms aiškiai suteikta prieiga, ir tik tada, kai tos paslaugos vykdomos.

Svarbu įsitikinti, kad paslaptys gali būti prieinamos tik atitinkamose talpyklose, o ne atskleidžiamos ar saugomos šeimininko lygmenyje..

Kodo lygio ir programų vykdymo laikas

„Docker“ saugumas prasideda pagrindinio kompiuterio lygiu, todėl labai svarbu nuolat atnaujinti pagrindinio kompiuterio operacinę sistemą. Be to, konteinerio viduje vykstantys procesai turėtų būti atnaujinami naujausi, įtraukiant geriausią su saugumu susijusią kodavimo praktiką.

Iš esmės turite įsitikinti, kad trečiųjų šalių tiekėjų įdiegti konteineriai nieko neatsisiųsti ir nieko neveikia vykdymo metu. Viskas, kas veikia „Docker“ konteineris, turi būti deklaruota ir įtraukta į statinį konteinerio vaizdą.

Vardų erdvės ir grupių grupės leidimai turėtų būti optimaliai pritaikyti prieigai atskirti ir kontroliuoti, ką kiekvienas procesas gali modifikuoti.

Konteineriai jungiasi vienas su kitu per klasterį, todėl jų ryšys riboja matomumą užkardose ir tinklo įrankiuose. Pasitelkiant nanosegmentus, gali būti naudinga apriboti sprogimo spindulį išpuolių atveju.

Visiškas gyvenimo ciklo valdymas

Konteinerių saugumas priklauso nuo to, kaip tvarkote konteinerių gyvavimo ciklą, kuris apima teisę nuo konteinerių sukūrimo, atnaujinimo ir panaikinimo. Sudėtiniai rodikliai turėtų būti traktuojami kaip nekintami, tai yra, užuot pakeitus arba atnaujinus veikiantį konteinerį su atnaujinimais, sukuriamas naujas vaizdas ir kruopščiai išbandomi šie konteineriai, ar nėra pažeidžiamumų, ir pakeisti turimi konteineriai.

Išteklių ribojimas

Dakteriai yra lengvas procesas, nes galite paleisti daugiau konteinerių nei virtualios mašinos. Tai naudinga optimaliai naudojant pagrindinius išteklius. Nors tai gali sukelti pažeidžiamumų, tokių kaip užpuolimo neigimas, grėsmę, kurią galima pašalinti ribojant sistemos išteklius, kuriuos atskiri konteineriai gali sunaudoti per konteinerių sistemą, pvz., „Swarm“..

Konteinerių aktyvumo stebėjimas

Kaip ir bet kurioje kitoje aplinkoje, svarbu nuolat aktyviai stebėti vartotojo veiklą aplink jūsų konteinerio ekosistemą, kad būtų galima nustatyti ir pašalinti bet kokią kenksmingą ar įtartiną veiklą..

Audito žurnalai turi būti įtraukti į programą, kad būtų galima įrašyti įvykius, pvz., Kada buvo sukurta ir suaktyvinta sąskaita, kokiu tikslu, kada atnaujintas paskutinis slaptažodis ir panašūs veiksmai organizacijos lygiu.

Įdiegę tokius audito pėdsakus aplink kiekvieną jūsų sukurtą ir savo organizacijai pritaikytą konteinerį, bus gera praktika nustatyti kenksmingą įsibrovimą.

Išvada

„Docker“ pagal savo dizainą yra pastatytas atsižvelgiant į geriausią saugumo praktiką, todėl saugumas nėra konteinerių problema. Tačiau labai svarbu niekada nenuleisti savo sargybos ir būti budriems.

Atsiradus daugiau atnaujinimų ir patobulinimų bei įgyvendinus šias funkcijas praktiškai, bus lengviau kurti saugias programas. Panaudodami konteinerio saugumo aspektus, tokius kaip konteinerio vaizdai, prieigos ir leidimo teisės, konteinerio segmentai, paslaptys ir gyvenimo ciklo valdymas IT praktikoje, galite užtikrinti optimizuotą „DevOps“ procesą su minimaliomis saugumo problemomis..

Jei esate visiškai naujas „Docker“, tuomet tai gali jus sudominti internetinis kursas.

ŽENKLAI:

  • Dokininkas

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map