Najbolje sigurnosne prakse – Napravite robusni spremnik dokera

Osigurajte svoj Docker kontejner …


Docker je prešao dug put da uporno nastoji izgraditi vrlo funkcionalan, ali siguran proizvod, iznoseći najbolje prakse i vrlo brzo reagirajući na bilo kakvu ranjivost ili probleme.

Od svog osnivanja, Docker bilježi značajan porast u usvajanju iz godine u godinu. Ako marljivo postavljate, bez elementa neznanja, Docker postaje moćno sredstvo za koje biste nesumnjivo jamčili za svoje IT prakse.

Svrha osiguranja vašeg okruženja spremnika ne leži samo na otvrdnjavanju spremnika ili poslužitelja na kojima se na kraju pokreću, već mora biti strateški usmjerena na brigu o svakoj neprimjerenoj radnji od povlačenja slike spremnika iz registra do kada je spremnik gurnut. u svijet proizvodnje.

Budući da su spremnici obično raspoređeni brzinom DevOps kao dio CI / CD okvira, neophodno je automatizirati više zadataka koji povećavaju učinkovitost, produktivnost, reviziju / evidentiranje i stoga rješavanje sigurnosnih pitanja..

Slijedi pregled pregled najboljih praksi u vezi sa sigurnošću na koje biste trebali voditi računa prilikom usvajanja Dockera.

Autentična slika doktora

Razvojni programeri često koriste bazne Docker slike umjesto da se izgrade iz nule. Ali preuzimanje ovih slika iz nepouzdanih izvora može dodati sigurnosne ranjivosti.

Stoga je neprobojno provjeriti autentičnost prije preuzimanja slike poduzimajući sljedeće mjere opreza:

  • Korištenje osnovne slike iz pouzdanih izvora kao što je Docker Hub koji sadrži slike koje skeniraju i pregledavaju Dockerove sigurnosne usluge skeniranja.
  • Koristeći osnovnu sliku koju digitalno potpisuje Docker Content Trust koja štiti od krivotvorenja.

Ovlašteni pristup

Za vrijeme rada u velikim timovima, bitno je konfigurirati kontrolu pristupa na temelju uloga (RBAC) za svoj spremnik Docker spremnika. Organizacije velikih poduzeća koriste rješenja direktorija poput Active Directorya za upravljanje pristupom i dozvolama za aplikacije u cijeloj organizaciji.

Za Docker je neophodno dobro rješenje za upravljanje pristupom, koje omogućuje spremnicima da rade s minimalnim povlasticama i pristupom potrebnim za izvršavanje zadatka, što zauzvrat smanjuje faktor rizika.

To pomaže u brizi o skalabilnosti s rastućim brojem korisnika.

Osjetljivo upravljanje informacijama

Prema Docker Swarm usluge, tajne su osjetljivi dio podataka koji se ne smije priopćavati ili pohraniti nekodirano u izvornom kodu Dockerfile-a ili aplikacije.

Tajne su osjetljive informacije poput lozinki, SSH ključeva, tokena, TLS certifikata itd. Tajne se šifriraju tijekom tranzita i u mirovanju u Dockerovom roju. Tajna je dostupna samo uslugama kojima je izričito odobren pristup i samo kad se te usluge izvode.

Važno je osigurati da tajne budu dostupne samo odgovarajućim spremnicima i ne smiju se izlagati ili skladištiti na razini domaćina.

Sigurnost na razini koda i aplikacije

Sigurnost Docker-a započinje na razini domaćina, tako da je neophodno da se operativni sustav glavnog računala ažurira. Također, procesi koji se izvode unutar spremnika trebali bi imati najnovija ažuriranja ugradnjom najbolje prakse sigurnosti kodiranja.

Uglavnom morate osigurati da spremnici koje su instalirali treći dobavljači ne preuzimaju ništa i pokreću bilo što u vrijeme izvođenja. Sve što Docker spremnik pokreće mora biti deklarirano i uključeno u statičku sliku spremnika.

Dozvole prostora i imena i grupa trebale bi se optimalno primijeniti za izoliranje pristupa i za kontrolu onoga što svaki postupak može mijenjati.

Kontejneri se međusobno povezuju preko klastera čineći svoju komunikaciju ograničavajući vidljivost vatrozida i alata za umrežavanje. Korištenje nano-segmentacije može biti korisno za ograničavanje radijusa eksplozije u slučaju napada.

Kompletno upravljanje životnim ciklusom

Sigurnost spremnika leži na načinu rukovanja životnim ciklusom spremnika koji uključuje pravo od stvaranja, ažuriranja i brisanja spremnika. Spremnike treba tretirati kao nepromjenjive, umjesto da mijenjaju ili nadopunjuju pokrenuti spremnik ažuriranjima, stvaraju novu sliku i temeljito testiraju te spremnike na ranjivosti i zamjenjuju postojeće..

Ograničavanje resursa

Dockeri su lagani procesi jer možete pokrenuti više spremnika nego virtualni strojevi. To je korisno za optimalno korištenje resursa domaćina. Iako može izazvati prijetnju ranjivostima poput odbijanja napada što se može riješiti ograničavanjem resursa sustava koje pojedini spremnici mogu trošiti kroz spremnički okvir kao što je Swarm.

Nadgledanje aktivnosti spremnika

Kao i bilo koje drugo okruženje, ključno je stalno aktivno pratiti korisničku aktivnost oko ekosustava vašeg spremnika kako biste identificirali i popravili sve zlonamjerne ili sumnjive aktivnosti.

Zapisi o reviziji moraju se uključiti u aplikaciju za bilježenje događaja kao što su kada je račun kreiran i aktiviran, u koju svrhu, kada je ažurirana zadnja lozinka i slične radnje na razini organizacije.

Primjena takvih revizijskih staza oko svakog spremnika koji stvorite i implementirate za svoju organizaciju bit će dobra praksa za prepoznavanje zlonamjerne provale..

Zaključak

Docker je, prema dizajnu, izgrađen s najboljom sigurnosnom praksom, tako da sigurnost nije problem u spremnicima. Ali ključno je da nikada ne spustite čuvara i budite oprezni.

Budući da dolazi do više ažuriranja i poboljšanja, a upotreba ovih značajki pomoći će u stvaranju sigurnih aplikacija. Korištenje sigurnosnih aspekata spremnika poput slika spremnika, prava pristupa i dozvola, segmentacije spremnika, tajni i upravljanja životnim ciklusom u IT praksi može osigurati optimizirani DevOps proces uz minimalne sigurnosne probleme.

Ako ste Docker potpuno novi, možda će vas ovo zanimati online tečaj.

OZNAKE:

  • Lučki radnik

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map