Osvedčené postupy pre zabezpečenie – vytvorte robustný kontajner pre doky

Zaistite svoj kontajner v doku …


Docker prešiel dlhú cestu a neustále sa snaží budovať vysoko funkčný, napriek tomu bezpečný produkt, ktorý ponúka osvedčené postupy a vysoko reaguje na akékoľvek zraniteľné miesta alebo problémy..

Od svojho založenia zaznamenala spoločnosť Docker medziročne značný nárast. Pri starostlivom nastavení, bez elementu nevedomosti, sa Docker stáva silným aktívom, za ktoré by ste nepochybne ručili, za svoje IT praktiky.

Zabezpečenie vášho prostredia kontajnera nespočíva iba v kalení kontajnerov alebo serverov, na ktorých nakoniec bežia, ale musí byť strategizované, aby sa postaralo o každú nepatrnú akciu hneď od stiahnutia obrazu kontajnera z registra až po tlačenie kontajnera. do sveta výroby.

Keďže kontajnery sú zvyčajne nasadené pri rýchlosti DevOps ako súčasť rámca CI / CD, je nevyhnutné, aby sa automatizovalo viac úloh, ktoré zvyšujú efektívnosť, produktivitu, vykonávanie auditov / protokolovania a tým aj riešenie bezpečnostných problémov..

Nasleduje prehľad osvedčených postupov týkajúcich sa zabezpečenia, ktoré by ste pri prijímaní Dockera mali byť opatrní.

Autentický obrázok Docker

Vývojári mnohokrát radšej používali základné obrázky Docker, než aby ich budovali od základov. Stiahnutie týchto obrázkov z nedôveryhodných zdrojov však môže pridať bezpečnostné chyby.

Preto je pred stiahnutím obrázka potrebné skontrolovať pravosť vykonaním nasledujúcich bezpečnostných opatrení:

  • Použitie základného obrázka z dôveryhodných zdrojov, ako je Docker Hub ktorý obsahuje obrázky, ktoré sú naskenované a skontrolované službami Docker Security Scanning Services.
  • Použitie základného obrázka, ktorý je digitálne podpísaný spoločnosťou Docker Content Trust a ktorý chráni pred falšovaním.

Autorizovaný prístup

Pri práci vo veľkých tímoch je nevyhnutné nakonfigurovať riadenie prístupu na základe rolí (RBAC) pre váš zásobník kontajnerov Docker. Veľká podniková organizácia používa adresárové riešenia, ako je Active Directory, na riadenie prístupu a povolení pre aplikácie v celej organizácii.

Je nevyhnutné mať pre Docker zavedené dobré riešenie správy prístupu, ktoré umožňuje kontajnerom pracovať s minimálnymi oprávneniami a prístupom potrebným na splnenie úlohy, čo zase znižuje rizikový faktor..

To pomáha starať sa o rozšíriteľnosť s rastúcim počtom používateľov.

Citlivé riadenie informácií

Podľa Docker Swarm služby, tajomstvá sú citlivými údajmi, ktoré by sa nemali prenášať ani ukladať nezašifrované v Dockerfile alebo zdrojovom kóde aplikácie..

Tajomstvá sú citlivé informácie, ako sú heslá, kľúče SSH, tokeny, certifikáty TLS atď. Tajomstvá sú šifrované počas prepravy a v pokoji v Dockerovom roji. Tajomstvo je prístupné iba pre služby, ktorým bol výslovne udelený prístup, a to len vtedy, keď sú tieto služby spustené.

Je nevyhnutné zabezpečiť, aby boli tajomstvá prístupné iba k príslušným kontajnerom a aby sa nevystavovali alebo neskladovali na úrovni hostiteľa..

Zabezpečenie na úrovni kódu a aplikácie Runtime

Bezpečnosť doku sa začína na úrovni hostiteľa, preto je dôležité neustále aktualizovať operačný systém hostiteľa. Procesy prebiehajúce vo vnútri kontajnera by mali mať najnovšie aktualizácie tak, že začlenia najlepšie postupy kódovania súvisiace s bezpečnosťou.

Musíte predovšetkým zabezpečiť, aby kontajnery, ktoré inštalujú predajcovia tretích strán, nestiahli nič a nespustili nič za behu. Všetko, čo beží dokovací kontajner, musí byť deklarované a zahrnuté do statického obrazu kontajnera.

Povolenia pre menný priestor a cgroup by sa mali optimálne používať na izoláciu prístupu a na kontrolu toho, čo sa môže zmeniť v každom procese.

Kontajnery sa navzájom spájajú v rámci klastra, čím ich komunikácia obmedzuje viditeľnosť na firewalloch a sieťových nástrojoch. Využitie nano-segmentácie môže byť užitočné pri obmedzovaní polomeru výbuchu v prípade útokov.

Kompletná správa životného cyklu

Bezpečnosť kontajnerov spočíva v tom, ako zaobchádzate s životným cyklom kontajnerov, ktorý zahŕňa právo od vytvorenia, aktualizácie a vymazania kontajnerov. S kontajnermi by sa malo zaobchádzať ako s nemeniteľnými, to znamená, že namiesto výmeny alebo aktualizácie bežiaceho kontajnera s aktualizáciami, vytvára nový obrázok a tieto kontajnery dôkladne testuje na zraniteľné miesta a nahradí existujúce kontajnery..

Obmedzenie zdrojov

Dokovacie stanice sú ľahké procesy, pretože môžete spúšťať viac kontajnerov ako virtuálne stroje. To je výhodné na optimálne využitie hostiteľských zdrojov. Môže to však predstavovať hrozbu zraniteľností, ako je odmietnutie útoku, čo sa dá zvládnuť obmedzením systémových prostriedkov, ktoré jednotlivé kontajnery môžu spotrebovať prostredníctvom rámca kontajnerov, ako je napríklad Swarm.

Monitorovanie aktivity kontajnerov

Rovnako ako v akomkoľvek inom prostredí je nevyhnutné neustále aktívne sledovať aktivitu používateľov v okolí vášho ekosystému kontajnera, aby sa identifikovali a opravili škodlivé alebo podozrivé činnosti..

Protokoly auditu musia byť súčasťou aplikácie na zaznamenávanie udalostí, napríklad kedy bol účet vytvorený a aktivovaný, na aký účel, kedy sa aktualizovalo posledné heslo a podobné akcie na úrovni organizácie..

Po implementácii takýchto kontrolných záznamov okolo každého kontajnera, ktorý vytvoríte a nasadíte pre svoju organizáciu, bude dobrým postupom identifikácia škodlivého narušenia..

záver

Docker je konštrukčne navrhnutý s ohľadom na najlepšie bezpečnostné postupy, takže bezpečnosť nie je problémom v kontajneroch. Je však veľmi dôležité, aby ste nikdy nezostali na pozore a neboli ostražití.

S príchodom ďalších aktualizácií a vylepšení a zavedením týchto funkcií do praxe pomôže zostaviť bezpečné aplikácie. Využitie aspektov zabezpečenia kontajnerov, ako sú obrázky kontajnerov, práva na prístup a povolenie, segmentácia kontajnerov, tajomstvá a správa životného cyklu do IT postupov, môže zaistiť optimalizovaný proces DevOps s minimálnymi bezpečnostnými problémami..

Ak ste úplne nováčikom v Dockeri, možno vás to bude zaujímať online kurz.

Tagy:

  • prístavný robotník

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map