Най-добри практики за сигурност – Създайте здрав контейнер за докери

Осигурете вашия Docker контейнер …


Docker измина дълъг път, последователно се стреми да изгради високо функционален, но сигурен продукт, представяйки най-добрите практики и високо реагирайки на всяка уязвимост или проблеми.

От създаването си Докер наблюдава значително увеличение на своето приемане от година на година. Налагайки се старателно, без елемент на невежество, Докер се превръща в мощен актив, за който без съмнение бихте искали, за вашите ИТ практики.

Силата на обезопасяването на вашата среда за контейнери не се състои само в втвърдяването на контейнерите или сървърите, на които в крайна сметка се изпълняват, но трябва да бъде стратегически да се грижи за всяко несъществено действие от издърпването на изображението на контейнера от регистър до когато контейнерът е избутан към света на производството.

Тъй като контейнерите обикновено се разполагат със скоростта на DevOps като част от CI / CD рамката, е наложително да се автоматизират повече задачи, които повишават ефективността, производителността, одита / регистрирането и следователно обработката на проблеми със сигурността..

По-нататък дава преглед на най-добрите практики, свързани със сигурността, за които трябва да се погрижите, докато приемате Docker.

Автентично изображение на Docker

Много пъти разработчиците поставят да използват базовите изображения на Docker, а не да изграждат отново от нулата. Но изтеглянето на тези изображения от ненадеждни източници може да добави уязвимости в сигурността.

Следователно е непроницаемо да проверите автентичността, преди да изтеглите изображението, като вземете следните предпазни мерки:

  • Използване на основното изображение от надеждни източници, като например Докер хъб който има изображения, които се сканират и преглеждат от Докер-сканиращите услуги за сигурност.
  • Използване на основното изображение, което се подписва цифрово от Docker Content Trust, което предпазва от фалшификация.

Разрешен достъп

Докато работите в големи екипи, е от съществено значение да конфигурирате ролевия контрол на достъпа (RBAC) за вашия контейнер на Docker контейнер. Голямата корпоративна организация използва решения на директории като Active Directory за управление на достъпа и разрешенията за приложения в цялата организация.

От съществено значение е да има добро решение за управление на достъпа за Docker, което позволява на контейнерите да работят с минимални привилегии и достъп, необходими за изпълнение на задачата, което от своя страна намалява рисковия фактор.

Това помага да се грижи за мащабируемостта с нарастващия брой потребители.

Чувствително управление на информацията

Според Докер рояк услуги, тайни са чувствителната част от данните, която не трябва да се съобщава или съхранява нешифрована в изходния код на Dockerfile или приложението.

Тайните са чувствителна информация като паролите, SSH ключовете, токените, TLS сертификатите и др. Тайните се кодират по време на транзит и в покой в ​​Докер рояк. Тайната е достъпна само за услугите, които изрично са получили достъп и само когато тези услуги се изпълняват.

От съществено значение е да се гарантира, че тайните трябва да са достъпни само в съответните контейнери и да не се излагат или съхраняват на ниво хост.

Сигурност на ниво код и сигурност на изпълнение на приложението

Защитата на Docker започва на ниво хост, така че е важно да се поддържа актуализирана операционната система на хоста. Също така процесите, работещи в контейнера, трябва да имат най-новите актуализации, като включват най-добрите практики за кодиране, свързани със сигурността.

Трябва основно да се уверите, че контейнерите, които са инсталирани от трети производители, не изтеглят нищо и не изпълняват нищо по време на изпълнение. Всичко, което изпълнява контейнер Docker, трябва да бъде декларирано и включено в статичното изображение на контейнера.

Разрешенията за пространство на имена и групи трябва да се прилагат оптимално за изолиране на достъпа и за контрол на това, което всеки процес може да променя.

Контейнерите се свързват помежду си през клъстера, правейки комуникацията си, ограничавайки видимостта до защитни стени и мрежови инструменти. Използването на нано-сегментация може да бъде полезно за ограничаване на радиуса на взрива в случай на атаки.

Цялостно управление на жизнения цикъл

Сигурността на контейнерите се състои в това как се справяте с жизнения цикъл на контейнера, който включва правото от създаването, актуализирането и изтриването на контейнерите. Контейнерите трябва да се третират като неизменни, което вместо да променя или актуализира текущия контейнер с актуализации, създава ново изображение и тества тези контейнери старателно за уязвимости и заменя съществуващите контейнери.

Ограничаване на ресурсите

Докерите са леки процеси, защото можете да стартирате повече контейнери, отколкото виртуални машини. Това е изгодно за оптимално използване на хост ресурсите. Въпреки че може да причини заплаха от уязвимости като отказ на атака, които могат да бъдат обработени чрез ограничаване на системните ресурси, които отделните контейнери могат да консумират чрез контейнерната рамка като Swarm.

Мониторинг на активността на контейнерите

Както всяка друга среда, важно е постоянно да наблюдавате активността на потребителя около вашата екосистема на контейнерите, за да идентифицирате и коригирате всички злонамерени или подозрителни дейности.

Дневниците за одит трябва да бъдат включени в приложението за записване на събития, като например, когато акаунтът е създаден и активиран, с каква цел, кога последната актуализирана парола и подобни действия на ниво организация.

Прилагането на такива пътеки за одит около всеки контейнер, който създавате и разгръщате за вашата организация, ще бъде добра практика за идентифициране на злонамерено навлизане.

заключение

Docker, по дизайн, е създаден с най-добрите практики за сигурност, така че сигурността не е проблем при контейнерите. Но е изключително важно никога да не сваляте охраната си и да сте бдителни.

С появата на повече актуализации и подобрения и прилагането на тези функции на практика ще помогне за изграждането на сигурни приложения. Използването на аспекти на сигурността на контейнера като изображения на контейнери, права за достъп и разрешения, сегментиране на контейнери, тайни и управление на жизнения цикъл в ИТ практиките може да гарантира оптимизиран процес на DevOps с минимални проблеми със сигурността.

Ако сте напълно нов за Докер, тогава може да се интересувате от това онлайн курс.

ЕТИКЕТИ:

  • докер

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map