بهترین راهکارهای امنیتی – ساخت کانتینر داکر قوی

کانتینر docker خود را ایمن کنید …


Docker راه طولانی را طی کرده است و پیوسته در تلاش است تا محصولی کاملاً کاربردی و در عین حال ایمن را بسازد ، بهترین شیوه ها را ارائه داده و در برابر هرگونه آسیب پذیری یا مسائل پاسخگو باشد..

از زمان آغاز به کار ، داکر در سال تصویب خود از سال گذشته شاهد افزایش چشمگیر بوده است. با راه اندازی دقیق و بدون عنصر جاهلیت ، داکر به یک دارایی قدرتمند تبدیل می شود که بدون شک می خواهید برای شیوه های فناوری اطلاعات خود آن را تضمین کنید..

مساله تأمین امنیت محیط کانتینر شما نه تنها در سخت شدن ظروف یا سرورهایی است که در نهایت روی آنها اجرا می شود بلکه باید استراتژیک شود تا از هر عملکرد منفی درست از کشیدن تصویر کانتینر از رجیستری گرفته تا هنگام فشار آوردن ظروف ، مراقبت شود. به دنیای تولید.

از آنجا که ظروف معمولاً با سرعت DevOps به عنوان بخشی از چارچوب CI / CD مستقر می شوند ، لازم است کارهای بیشتری به صورت خودکار انجام شود که باعث افزایش کارایی ، بهره وری ، ممیزی / ورود به سیستم و از این رو رسیدگی به مسائل امنیتی می شود..

در زیر نمای کلی از بهترین شیوه های مربوط به امنیت که باید هنگام اتخاذ Docker مراقبت کنید ، ارائه می دهد.

تصویر معتبر داکر

بسیاری از اوقات ، توسعه دهندگان استفاده از تصاویر پایه Docker را به جای ساخت مجدد از ابتدا ، استفاده می کنند. اما بارگیری این تصاویر از منابع غیرقابل اعتماد می تواند آسیب پذیری های امنیتی را اضافه کند.

بنابراین ، قبل از بارگیری تصویر ، با رعایت موارد احتیاط زیر ، صحت را بررسی کنید:

  • با استفاده از تصویر پایه از منابع قابل اعتماد مانند داکر هاب که دارای تصاویری است که توسط خدمات اسکن امنیتی Docker اسکن و بررسی می شوند.
  • با استفاده از تصویر پایه که به صورت دیجیتالی توسط Docker Content Trust امضا شده است که از جعل محافظت می کند.

دسترسی مجاز

هنگام کار در تیم های بزرگ ، پیکربندی کنترل دسترسی مبتنی بر نقش (RBAC) برای پشته کانتینر Docker شما ضروری است. سازمان سازمانی بزرگ از راه حل های دایرکتوری مانند Active Directory برای مدیریت دسترسی و اجازه برنامه های کاربردی در سراسر سازمان استفاده می کند.

داشتن یک راه حل مدیریت دسترسی مناسب برای Docker در محل ضروری است که ظروف را قادر می سازد تا با حداقل امتیازات و دسترسی های لازم برای انجام کار ، کار کنند که به نوبه خود باعث کاهش ریسک می شود..

این امر به مراقبت از مقیاس پذیری با افزایش روز افزون کاربران کمک می کند.

مدیریت اطلاعات حساس

بر اساس Docker Swarm سرویس ها ، اسرار بخش حساسی از داده هایی هستند که نباید در رمزنگاری یا منبع منبع برنامه به صورت رمزگذاری نشده ذخیره یا ذخیره شوند..

اسرار اطلاعات حساسی مانند رمزهای عبور ، کلیدهای SSH ، نشانه ها ، گواهینامه های TLS و غیره است. اسرار در هنگام ترانزیت و در حالت استراحت در ازدحام داکر رمزگذاری می شوند. راز فقط برای خدماتی قابل دسترسی است که صریحاً به آنها اجازه داده شده است و فقط در صورت اجرای این سرویس ها.

ضروری است که اطمینان حاصل شود که اسرار فقط باید در دسترس ظروف مربوطه باشد و نباید در سطح میزبان در معرض یا ذخیره باشد..

امنیت در سطح کد و برنامه زمان اجرا

امنیت داکر در سطح میزبان آغاز می شود ، بنابراین به روزرسانی سیستم عامل میزبان ضروری است. همچنین ، فرآیندهای در حال اجرا در داخل ظرف باید با استفاده از بهترین روش برنامه نویسی مربوط به امنیت ، آخرین نسخه را داشته باشند.

شما به طور عمده باید اطمینان حاصل کنید که ظروف نصب شده توسط فروشندگان شخص ثالث ، هیچ چیزی را بارگیری نمی کنند و در زمان اجرا هر چیزی را اجرا می کنند. هر چیزی که یک ظرف داکر اجرا می شود باید اعلام شود و در تصویر ظرف استاتیک درج شود.

فضای مجازی و مجوزهای گروهها باید به صورت بهینه برای جداسازی دسترسی و برای کنترل آنچه در هر فرآیند می تواند تغییر کند اعمال شود.

کانتینرها با یکدیگر به صورت خوشه ای ارتباط برقرار می کنند و باعث می شوند ارتباطات آنها باعث می شود دید دیوارهای فایروال و ابزارهای شبکه محدود شود. تقسیم نانو تقسیم بندی می تواند برای محدود کردن شعاع انفجار در صورت وقوع حملات مفید باشد.

مدیریت کامل چرخه زندگی

امنیت کانتینر مربوط به نحوه مدیریت چرخه عمر ظروف است که شامل حق ایجاد ، به روزرسانی و حذف ظروف است. ظروف باید به صورت غیرقابل تغییر رفتار شوند که به جای تغییر یا به روزرسانی ظرف در حال اجرا با به روزرسانی ها ، تصویر جدیدی ایجاد می کنند و این ظروف را کاملاً برای آسیب پذیری ها آزمایش می کنند و ظروف موجود را جایگزین می کنند..

محدود کردن منابع

داکرها فرآیندهای سبک هستند زیرا می توانید ظروف بیشتری نسبت به ماشین های مجازی کار کنید. این برای استفاده بهینه از منابع میزبان مفید است. گرچه می تواند خطر آسیب پذیری هایی مانند انکار حمله را ایجاد کند که با محدود کردن منابع سیستمی که کانتینرهای شخصی از طریق چارچوب کانتینرها مانند Swarm می توانند از آن استفاده کنند ، استفاده می شود..

نظارت بر فعالیت کانتینر

مانند هر محیط دیگر ، برای شناسایی و رفع هرگونه فعالیت مخرب یا مشکوک ضروری است به طور مداوم نظارت بر فعالیت کاربر در اطراف اکوسیستم کانتینر خود داشته باشید..

گزارش های حسابرسی باید در برنامه ثبت شوند تا وقایعی مانند زمان ایجاد و فعال شدن حساب را ثبت کنند ، برای چه منظور ، وقتی آخرین رمز به روزرسانی شده و اقدامات مشابه در سطح سازمان.

اجرای چنین راهپیمایی های حسابرسی در اطراف هر ظرفی که برای سازمان خود ایجاد کرده و مستقر می کنید ، یک روش خوب برای شناسایی یک نفوذ مخرب است.

نتیجه

داکر ، با طراحی ، با بهترین عملکرد امنیتی در ذهن ساخته شده است ، بنابراین امنیت در ظروف مسئله ای نیست. اما این بسیار مهم است که هرگز نگهبان خود را رها نکنید و هوشیار باشید.

با به روزرسانی های بیشتر و به روزرسانی بیشتر و عملی شدن این ویژگی ها ، به ساخت برنامه های ایمن کمک خواهید کرد. اعمال جنبه های امنیتی کانتینر مانند تصاویر کانتینر ، حقوق دسترسی و اجازه ، تقسیم کانتینر ، اسرار و مدیریت چرخه چرخه در شیوه های فناوری اطلاعات می تواند فرآیند بهینه سازی DevOps را با حداقل مسائل امنیتی تضمین کند..

اگر کاملاً تازه وارد Docker هستید ، ممکن است به این موضوع علاقه مند شوید دوره آنلاین.

برچسب ها:

  • داکر

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map