Cele mai bune practici de securitate – Construiți un container robust

Asigurați-vă containerul Docker …


Docker a parcurs un drum lung se străduiește în mod constant să construiască un produs extrem de funcțional, dar sigur, punând în practică cele mai bune practici și răspunzând foarte mult la orice vulnerabilitate sau probleme..

Încă de la înființare, Docker a înregistrat o creștere semnificativă în anul adopției. Datorită faptului că configurați cu diligență, fără un element de ignoranță, Docker devine un atu puternic pentru care, fără îndoială, veți beneficia, pentru practicile dvs. IT.

Faptul de a vă asigura mediul containerului nu se rezumă numai la întărirea containerelor sau a serverelor pe care acestea rulează în cele din urmă, ci trebuie strategizat pentru a avea grijă de fiecare acțiune minusculă chiar de la tragerea imaginii containerului dintr-un registru până la momentul în care containerul este împins. către lumea producției.

Deoarece containerele sunt de obicei desfasurate cu viteza DevOps ca parte a cadrului CI / CD, este imperativ să se automatizeze mai multe sarcini care să sporească eficiența, productivitatea, auditul / logarea și, prin urmare, gestionarea problemelor de securitate..

Următoarele oferă o imagine de ansamblu asupra celor mai bune practici legate de securitate, de care trebuie să aveți grijă în timp ce adoptați Docker.

Imagine autentică Docker

De multe ori, dezvoltatorii au folosit mai degrabă imaginile Docker de bază decât să re-construiască de la zero. Dar descărcarea acestor imagini din surse de încredere poate adăuga vulnerabilități de securitate.

Prin urmare, este impermeabil să verificați autenticitatea înainte de a descărca imaginea, luând următoarele măsuri de precauție:

  • Utilizarea imaginii de bază din surse de încredere, cum ar fi Docker Hub care are imagini scanate și examinate de serviciile de scanare a securității Docker.
  • Utilizarea imaginii de bază care este semnată digital de Docker Content Trust, care protejează împotriva falsurilor.

Acces autorizat

În timp ce lucrați în echipe mari, este esențial să configurați controlul de acces bazat pe rol (RBAC) pentru stiva dvs. de containere Docker. Organizațiile de întreprinderi mari utilizează soluții de directoare precum Active Directory pentru a gestiona accesul și permisiunea pentru aplicații din întreaga organizație.

Este esențial să existe o soluție bună de gestionare a accesului pentru Docker, care să permită containerelor să funcționeze cu privilegii minime și accesul necesar pentru a finaliza sarcina, care la rândul său reduce factorul de risc.

Acest lucru ajută să aibă grijă de scalabilitate cu numărul tot mai mare de utilizatori.

Gestionarea informațiilor sensibile

In conformitate cu Puiul de andocare serviciile, secretele sunt informațiile sensibile care nu ar trebui comunicate sau stocate necriptate în Dockerfile sau în codul sursă al aplicației..

Secretele sunt informații sensibile precum parolele, tastele SSH, jetoane, certificate TLS, etc. Secretele sunt criptate în timpul tranzitului și în repaus într-un roi Docker. Un secret este accesibil numai serviciilor cărora li s-a acordat acces în mod explicit și numai atunci când aceste servicii sunt executate.

Este esențial să vă asigurați că secretele ar trebui să fie accesibile doar containerelor relevante și să nu fie expuse sau stocate la nivelul gazdei.

Nivel de cod și securitate de rulare a aplicației

Securitatea Docker începe de la nivel de gazdă, astfel încât este esențial să ținem actualizat sistemul de operare al gazdei. De asemenea, procesele care se desfășoară în interiorul containerului ar trebui să aibă cele mai recente actualizări prin încorporarea celor mai bune practici de codare legate de securitate.

În principal, trebuie să vă asigurați că containerele instalate de către furnizorii terți nu descarcă nimic și nu rulează nimic la timpul de rulare. Tot ceea ce rulează un container Docker trebuie să fie declarat și inclus în imaginea containerului static.

Permisiunile pentru spațiul de nume și cgroups ar trebui să fie aplicate în mod optim pentru izolarea accesului și pentru a controla ce poate modifica fiecare proces.

Containerele se conectează între ele prin cluster, făcând comunicarea lor limitând vizibilitatea la firewall și la instrumentele de rețea. Utilizarea nano-segmentării poate fi resursă pentru limitarea razei de explozie în caz de atacuri.

Management complet al ciclului de viață

Securitatea containerului constă în modul în care gestionați ciclul de viață al containerului, ceea ce implică dreptul de la creare, actualizare și ștergere a containerelor. Containerele trebuie tratate ca imuabile, care în loc să modifice sau să actualizeze containerul rulant cu actualizări, să creeze o nouă imagine și să testeze aceste containere cu atenție pentru vulnerabilități și să înlocuiască containerele existente.

Limitarea resurselor

Dockerele sunt procese ușoare, deoarece puteți rula mai multe containere decât mașini virtuale. Acest lucru este benefic pentru a utiliza în mod optim resursele gazdă. Deși poate provoca o amenințare de vulnerabilități, cum ar fi negarea atacului, care poate fi gestionată prin limitarea resurselor sistemului pe care containerele individuale le pot consuma prin cadrul containerului, cum ar fi Swarm..

Monitorizarea activității containerelor

Ca orice alt mediu, este esențial să monitorizați în mod constant activitatea utilizatorului din jurul ecosistemului dvs. de container pentru a identifica și a remedia orice activități dăunătoare sau suspecte.

Jurnalele de audit trebuie să fie încorporate în aplicație pentru a înregistra evenimente precum momentul creării și activării contului, în ce scop, când ultima parolă actualizată și acțiuni similare la nivelul organizației.

După ce ați implementat astfel de trasee de audit în fiecare container pe care îl creați și îl implementați pentru organizația dvs., va fi o bună practică pentru a identifica o intruziune rău intenționată.

Concluzie

Docker, prin design, este construit cu cele mai bune practici de securitate, astfel încât securitatea nu este o problemă în containere. Dar este crucial să nu lăsați niciodată paznicul jos și să fiți vigilenți.

Având la dispoziție mai multe actualizări și îmbunătățiri și punerea în practică a acestor funcții va ajuta la crearea de aplicații sigure. Utilizarea aspectelor de securitate a containerului, precum imaginile containerului, drepturile de acces și permisiune, segmentarea containerului, secretele și gestionarea ciclului de viață în practicile IT pot asigura procesul DevOps optimizat cu probleme de securitate minime.

Dacă sunteți complet nou în Docker, atunci puteți fi interesat de acest lucru curs online.

ETICHETE:

  • Docher

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map