Pinakamahusay na Kasanayan sa Seguridad – Bumuo ng Isang Malakas na Docker Container

I-secure ang iyong Docker Container …


Docker ay dumating sa isang mahabang paraan ay patuloy na nagsusumikap upang bumuo ng isang lubos na pagganap, ngunit isang ligtas na produkto, paglalagay ng pinakamahusay na kasanayan at pagiging lubos na tumutugon sa anumang kahinaan o isyu.

Dahil sa pagsisimula nito, nakakita si Docker ng isang makabuluhang pagtaas sa taon ng pag-aampon sa taon. Sa pag-set up ng masigasig, nang walang isang elemento ng kamangmangan, ang Docker ay nagiging isang malakas na pag-aari na walang pagsala sa iyo na maghahanda, para sa iyong mga kasanayan sa IT.

Ang pag-secure ng iyong kapaligiran ng lalagyan ay hindi lamang nakasalalay sa pagpapatigas ng mga lalagyan o mga server na kanilang pinapatakbo ngunit sa kalaunan ay dapat na estratehikong alagaan ang bawat pagkilos na minuscule mula mismo sa paghila ng imahe ng lalagyan mula sa isang pagpapatala hanggang sa ang lalagyan ay itinulak sa mundo ng paggawa.

Dahil ang mga lalagyan ay karaniwang karaniwang na-deploy sa bilis ng DevOps bilang isang bahagi ng CI / CD framework, kinakailangang makakuha ng maraming mga gawain na awtomatiko na mapahusay ang kahusayan, produktibo, pag-awdit / pag-log at samakatuwid ang paghawak ng mga isyu sa seguridad.

Ang sumusunod ay nagbibigay ng isang pangkalahatang-ideya ng mga pinakamahusay na kasanayan na may kaugnayan sa seguridad na dapat mong alagaan habang pinagtibay ang Docker.

Authentic Docker Image

Maraming mga oras, inilalagay ng mga developer ang base ng mga imahe ng Docker sa halip na muling pagtatayo mula sa simula. Ngunit ang pag-download ng mga larawang ito mula sa hindi mapagkakatiwalaang mga mapagkukunan ay maaaring magdagdag ng mga kahinaan sa seguridad.

Hindi malinaw na, samakatuwid, suriin ang pagiging tunay bago i-download ang imahe sa pamamagitan ng pagkuha ng mga sumusunod na pag-iingat:

  • Gamit ang base na imahe mula sa mga mapagkakatiwalaang mapagkukunan tulad ng Docker Hub na may mga imahe na na-scan at sinuri ng Mga Serbisyo sa Pag-scan ng Security ng Docker.
  • Gamit ang base na imahe na awtomatikong nilagdaan ng Docker Content Trust na pinoprotektahan laban sa pagpapatawad.

Awtorisadong Pag-access

Habang nagtatrabaho sa malalaking koponan, mahalaga na i-configure ang control control na batay sa papel (RBAC) para sa iyong stack ng lalagyan ng Docker. Ang malalaking organisasyon ng kumpanya ay gumagamit ng mga solusyon sa direktoryo tulad ng Aktibong Directory upang pamahalaan ang pag-access at pahintulot para sa mga aplikasyon sa buong samahan.

Mahalaga na magkaroon ng isang mahusay na solusyon sa pamamahala ng pag-access para sa Docker sa lugar na nagbibigay-daan sa mga lalagyan na mapatakbo nang may kaunting pribilehiyo at pag-access na kinakailangan upang maisagawa ang gawain na kung saan binabawasan ang panganib na kadahilanan.

Makakatulong ito upang alagaan ang scalability sa dumaraming bilang ng mga gumagamit.

Sensitibong pamamahala ng impormasyon

Ayon sa Pagpapuno ng Docker mga serbisyo, mga lihim ay ang sensitibong piraso ng data na hindi dapat maiparating o maiimbak na hindi naka-encrypt sa Dockerfile o code ng mapagkukunan ng aplikasyon.

Ang mga lihim ay sensitibong impormasyon tulad ng mga password, SSH key, token, sertipiko ng TLS, atbp. Ang mga lihim ay naka-encrypt sa panahon ng transit at nagpapahinga sa isang Docker swarm. Ang lihim ay maa-access lamang sa mga serbisyo na malinaw na binigyan ng pag-access at kapag tumatakbo ang mga serbisyong iyon.

Mahalagang tiyakin na ang mga lihim ay dapat ma-access lamang sa mga nauugnay na lalagyan at hindi dapat mailantad o maiimbak sa antas ng host.

Code-level at Application ng Runtime Security

Ang seguridad ng docker ay nagsisimula sa antas ng host, kaya’t kinakailangan na panatilihing na-update ang operating system ng host. Gayundin, ang mga proseso na tumatakbo sa loob ng lalagyan ay dapat magkaroon ng pinakabagong mga update sa pamamagitan ng pagsasama ng pinakamahusay na kasanayan na may kinalaman sa seguridad na may kaugnayan sa seguridad.

Dapat mong tiyakin na ang mga lalagyan na naka-install ng mga vendor ng third-party ay hindi nag-download ng anuman at nagpapatakbo ng anumang bagay sa runtime. Lahat ng tumatakbo na lalagyan ng Docker ay dapat ideklara at isama sa imahe ng static container.

Ang mga pahintulot sa Namespace at cgroup ay dapat na ma-optimize na mailapat para sa paghihiwalay sa pag-access at upang makontrol kung ano ang maaaring baguhin ng bawat proseso.

Ang mga lalagyan ay kumokonekta sa bawat isa sa buong kumpol na ginagawa ang kanilang komunikasyon na naglilimita sa kakayahang makita sa mga firewall at mga tool sa networking. Ang pag-aayos ng nano-segmentation ay maaaring maging kapaki-pakinabang para sa paglilimita ng putok-radius sa kaso ng pag-atake.

Kumpletuhin ang Pamamahala ng Lifecycle

Ang seguridad ng lalagyan ay nakasalalay sa kung paano mo pinangangasiwaan ang container lifecycle na kinabibilangan ng tama mula sa paglikha, pag-update, at pagtanggal ng mga lalagyan. Ang mga lalagyan ay dapat tratuhin bilang hindi mababago na sa halip na baguhin o i-update ang tumatakbo na lalagyan na may mga update, lumilikha ng isang bagong imahe at susuriin nang lubusan ang mga lalagyan para sa kahinaan at palitan ang umiiral na mga lalagyan.

Limitahan ang Mga Mapagkukunan

Ang mga pantalan ay magaan na proseso dahil maaari kang magpatakbo ng mas maraming lalagyan kaysa sa mga virtual machine. Nakikinabang ito upang magamit ang pinakamainam na paggamit ng mga mapagkukunan ng host. Bagaman maaari itong magdulot ng isang banta ng kahinaan tulad ng pagtanggi sa pag-atake na maaaring hawakan sa pamamagitan ng paglilimita sa mga mapagkukunan ng system na maaaring maubos ng mga indibidwal na lalagyan sa pamamagitan ng balangkas ng lalagyan tulad ng Swarm.

Pagmamanman ng Aktibidad ng Lalagyan

Tulad ng anumang iba pang kapaligiran, mahalaga na patuloy na aktibong subaybayan ang aktibidad ng gumagamit sa paligid ng iyong container ecosystem upang makilala at ayusin ang anumang nakakahamak o kahina-hinalang aktibidad.

Ang mga tala sa pag-audit ay dapat isama sa loob ng application upang maitala ang mga kaganapan tulad ng kapag nilikha ang account at naisaaktibo, para sa anong layunin, kapag na-update ang huling password at mga katulad na pagkilos sa antas ng samahan.

Ang pagkakaroon ng ipinatupad na tulad ng mga landas sa pag-audit sa paligid ng bawat lalagyan na nilikha mo at ilawak para sa iyong samahan ay isang mabuting kasanayan upang makilala ang isang nakakahamak na panghihimasok.

Konklusyon

Ang docker, sa pamamagitan ng disenyo, ay itinayo nang may pinakamagandang kasanayan sa seguridad, kaya ang seguridad ay hindi isang isyu sa mga lalagyan. Ngunit mahalaga na huwag mong pabayaan ang iyong bantay at maging maingat.

Sa mas maraming mga pag-update at pagpapabuti na darating at isinasagawa ang mga tampok na ito ay makakatulong sa pagbuo ng mga secure na apps. Ang pag-agaw ng mga aspeto ng seguridad ng lalagyan tulad ng mga imahe ng lalagyan, pag-access at mga karapatan ng pahintulot, paghahati ng lalagyan, mga lihim at pamamahala ng lifecycle sa mga kasanayan sa IT ay maaaring matiyak na na-optimize ang proseso ng DevOps na may kaunting mga isyu sa seguridad.

Kung ikaw ay ganap na bago sa Docker maaari kang maging interesado sa mga ito kurso sa online.

TAGS:

  • Docker

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map