Legjobb biztonsági gyakorlatok – Építsen egy robusztus dokkolótartályt

Biztosítsa dokkolótartályát …


A Docker hosszú utat tett meg, hogy következetesen erősen működőképes, mégis biztonságos terméket készítsen, bemutatja a bevált gyakorlatokat, és nagy mértékben reagáljon bármilyen sebezhetőségre vagy problémára..

Létrehozása óta a Docker jelentősen megnőtt az elfogadása évről évre. A szorgalmas, a tudatlanság nélkül történő üzembe helyezéskor a Docker hatalmas erőssé válik, amelyre kétségtelenül utalni fog az informatikai gyakorlatért..

A tárolókörnyezet védelmének a feladata nem csak a konténerek vagy a kiszolgálók megkeményedésén rejlik, hanem stratégiáját is ki kell alakítani annak érdekében, hogy minden apró cselekvésre ügyeljen, kezdve a tárolóképnek a nyilvántartásból való kihúzásától a tároló tolásakor. a produkciós világba.

Mivel a konténereket általában a DevOps sebességgel telepítik a CI / CD keretrendszer részeként, elengedhetetlen több olyan feladat automatizálása, amelyek javítják a hatékonyságot, a termelékenységet, az auditálást / naplózást és ezáltal a biztonsági kérdések kezelését..

Az alábbiakban áttekintést nyújtunk a biztonsággal kapcsolatos bevált gyakorlatokról, amelyekkel ügyelni kell a Docker elfogadására.

Hiteles dokkoló kép

A fejlesztők sokszor inkább az alapvető Docker képeket használják, ahelyett, hogy a semmiből kellene újjáépíteniük. Ezeknek a képeknek a megbízhatatlan forrásokból történő letöltése biztonsági réseket jelenthet.

Ezért nem átjárható, hogy a kép letöltése előtt ellenőrizze a valódiságot az alábbi óvintézkedések megtételével:

  • Az alapkép használata megbízható forrásokból, például a Docker Hub amely olyan képeket tartalmaz, amelyeket a Docker Biztonsági szkennelési szolgáltatása beszkennel és ellenőriz.
  • A hamisítás ellen védő, a Docker Content Trust által digitálisan aláírt alapképet használva.

Engedélyezett hozzáférés

Nagy csoportokban történő munka közben elengedhetetlen a szerepkör-alapú hozzáférés-vezérlés (RBAC) konfigurálása a Docker tárolócsomaghoz. A nagyvállalati szervezetek könyvtári megoldásokat, például az Active Directory-t használnak az alkalmazásokhoz való hozzáférés és engedélyek kezelésére a szervezeten belül.

Alapvető fontosságú, hogy a Docker számára megfelelő hozzáférés-kezelési megoldás legyen, amely lehetővé teszi, hogy a konténerek minimális jogosultságokkal és hozzáféréssel működhessenek a feladat elvégzéséhez, ami viszont csökkenti a kockázati tényezőt.

Ez segít ügyelni a méretezhetőségre a növekvő számú felhasználóval.

Érzékeny információkezelés

Szerint a Docker raj szolgáltatások, titkok olyan érzékeny adat, amelyet nem szabad titkosítatlanul továbbítani vagy tárolni a Dockerfile vagy az alkalmazás forráskódjában.

A titkok olyan érzékeny információk, mint a jelszavak, SSH kulcsok, tokenek, TLS tanúsítványok stb. A titkokat titkosítják átvitel közben és nyugalomban egy Docker rajban. A titok csak azoknak a szolgáltatásoknak érhető el, amelyek kifejezetten hozzáférést kaptak, és csak akkor, amikor ezek a szolgáltatások futnak.

Alapvető fontosságú annak biztosítása, hogy a titkok csak a megfelelő tárolóedényekhez férhessenek hozzá, és hogy azokat ne tegyék ki és tárolják a házigazda szintjén..

Kódszintű és alkalmazás futásidejű biztonság

A Docker biztonsága a host szintjén kezdődik, ezért elengedhetetlen a host operációs rendszer frissítése. Ezenkívül a tárolóban futó folyamatoknak a legfrissebb frissítésekkel kell rendelkezniük, a legjobb biztonsággal kapcsolatos kódolási gyakorlat beépítésével.

Elsősorban biztosítania kell, hogy a külső gyártók által telepített tárolók ne töltsenek le fájlt, és futtatás közben semmit sem futtassanak. Mindent, amelyet a Docker tároló fut, deklarálni kell, és bele kell foglalni a statikus tároló képébe.

A névtér és a csoportok engedélyét optimálisan kell alkalmazni a hozzáférés elszigetelésére és annak ellenőrzésére, hogy az egyes folyamatok hogyan módosíthatók.

A konténerek összekötik egymást a fürtön keresztül, így kommunikációjuk korlátozza a tűzfalak és a hálózati eszközök láthatóságát. A nano-szegmentálás kihasználása hasznos lehet a robbantási sugár korlátozására támadások esetén.

Teljes életciklus-menedzsment

A konténerbiztonság abban rejlik, hogy miként kezeli a konténer életciklusát, amely magában foglalja a jogokat a konténerek létrehozásától, frissítésétől és törléséig. A tárolókat változatlanul kell kezelni, azaz a futó tároló frissítései megváltoztatásának vagy frissítésének helyett egy új képet hoz létre, és alaposan megvizsgálja a tárolók sebezhetőségét, és helyettesíti a meglévőket.

Források korlátozása

A dokkológépek könnyű folyamatok, mivel több tárolót futtathat, mint virtuális gépeket. Ez előnyös a gazdaforrások optimális felhasználása érdekében. Annak ellenére, hogy veszélyeztetheti a sebezhetőségeket, például a támadás tagadását, amelyet kezelni lehet az olyan rendszererőforrások korlátozásával, amelyeket az egyes konténerek fogyaszthatnak a konténerkeret, például a Swarm révén.

A konténer tevékenységének figyelése

Mint minden más környezetben, elengedhetetlen a konténerökoszisztéma körüli felhasználói tevékenységek folyamatos aktív nyomon követése a rosszindulatú vagy gyanús tevékenységek azonosítása és kijavítása érdekében..

Az ellenőrzési naplókat be kell építeni az alkalmazásba az események rögzítéséhez, mint például a fiók létrehozásának és aktiválásának időpontja, milyen célból, amikor az utolsó jelszó frissítve volt, és hasonló tevékenységek szervezeti szinten.

Az ilyen ellenőrzési nyomvonalak bevezetése minden egyes tároló körül, amelyet létrehozott és telepített a szervezetéhez, jó gyakorlat a rosszindulatú behatolás azonosítására..

Következtetés

A Docker tervezése szerint a legjobb biztonsági gyakorlatra épül, tehát a biztonság nem jelent problémát a konténerekben. De döntő fontosságú, hogy soha ne hagyja le az őrségét és legyen éber.

A további frissítések és fejlesztések megjelenésével, valamint ezeknek a szolgáltatásoknak a gyakorlati megvalósításával elősegítheti a biztonságos alkalmazások felépítését. A tárolóbiztonsági szempontok, például a tárolóképeket, a hozzáférési és engedélyezési jogokat, a tároló szegmentálását, a titkokat és az életciklus-kezelést IT gyakorlatokba építve biztosíthatják a DevOps optimalizált folyamatát minimális biztonsági problémákkal.

Ha teljesen új vagy a Dockernél, akkor érdekelhet ez online tanfolyam.

CÍMKÉK:

  • Dokkmunkás

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map