成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

如何做好容器安全

2021-02-02    分類: 網(wǎng)站建設(shè)

保護(hù)Docker和容器基礎(chǔ)設(shè)施安全需要打組合拳,綜合運(yùn)用策略、工具和審慎的應(yīng)用檢查。

容器安全

Gartner將容器安全列為其本年度十大安全顧慮之一,或許是時(shí)候進(jìn)一步審視并找出切實(shí)的容器安全實(shí)現(xiàn)方案了。雖然容器已面世十年,但其輕量且可重用的代碼、靈活的功能和更低的開(kāi)發(fā)成本,令容器的流行程度有增無(wú)減。但沒(méi)有什么工具是萬(wàn)能的。我們不妨再仔細(xì)考察一下保護(hù)開(kāi)發(fā)環(huán)境所需的各種工具、容器自身所用工具和出于監(jiān)視/審計(jì)/合規(guī)目的的工具吧。

從以下幾個(gè)基本步驟開(kāi)始:

1. 熟悉云提供商交付的工具

第一步就是熟悉云提供商的內(nèi)置安全措施,比如 Azure Security Center、谷歌Kubernetes Engine、谷歌 Cloud Security Command Center和亞馬遜Inspector。其中有些是通用安全工具而非容器專用,比如 Azure Security Center。

2. 熟悉原生Docker相關(guān)安全功能

包括運(yùn)用策略防止資源濫用、設(shè)置訪問(wèn)控制組和確保清除不必要的root權(quán)限。

3. 考慮GitHub開(kāi)源項(xiàng)目

某些情況下,Bench Security之類檢查代碼中好安全實(shí)踐的項(xiàng)目,以及類似seccomp的其他Linux原生工具,是節(jié)省開(kāi)支的不錯(cuò)選擇。

總有很多軟件有待學(xué)習(xí)和理解,但應(yīng)重點(diǎn)查看幾個(gè)常用功能,包括為用戶及最終生成的應(yīng)用所設(shè)的身份及身份驗(yàn)證措施,以及控制這些訪問(wèn)權(quán)限的機(jī)制。另外,還需要能夠檢查并審計(jì)日志文件,要能瀏覽并過(guò)濾日志文件以提供有益安全態(tài)勢(shì)的可操作信息。最后,還要有用于保護(hù)API密鑰和ssl憑證之類秘密的底層基礎(chǔ)設(shè)施。這些秘密必須以加密形式存儲(chǔ)。

是不是有點(diǎn)頭暈?zāi)垦A?這還才剛剛開(kāi)始呢。想要保護(hù)公司環(huán)境中的容器,下面三個(gè)領(lǐng)域是你不得不仔細(xì)考慮的。

1. 保護(hù)開(kāi)發(fā)環(huán)境

由于容器對(duì)開(kāi)發(fā)人員而言非常有用,所以推進(jìn)到DevSecOps非常有必要,但要記得在創(chuàng)建容器時(shí)即添加安全措施,而不是在項(xiàng)目匆忙上馬留下諸多漏洞之后。保證應(yīng)用安全從來(lái)都是好實(shí)踐。在選擇正確的安全工具之前,你需要回答以下幾個(gè)重要問(wèn)題:

(1) 能夠自動(dòng)化哪些工作流以保持應(yīng)用安全?

有些工具有助于實(shí)現(xiàn)該操作,尤其是在編排方面。然而,很多編排工具專注于容器管理和擴(kuò)展問(wèn)題,未必考慮到安全細(xì)節(jié)。找到功能和防護(hù)之間的恰當(dāng)平衡或許沒(méi)那么容易。

(2) 應(yīng)用和用戶訪問(wèn)控制的粒度該設(shè)成多細(xì)?

這里有必要了解這些控制的實(shí)現(xiàn)機(jī)制及其局限。比如說(shuō),哪些代碼段和容器具備root/內(nèi)核訪問(wèn)權(quán)限,是否需要這么高的權(quán)限來(lái)完成任務(wù)。

(3) 應(yīng)該使用運(yùn)行時(shí)應(yīng)用自防護(hù)(RASP)技術(shù)嗎?

必須的。就像專注應(yīng)用的RASP常規(guī)工具,有些工具專注于容器運(yùn)行時(shí)應(yīng)用保護(hù),要么有靜態(tài)掃描,要么利用開(kāi)發(fā)環(huán)境持續(xù)集成。因?yàn)槿萜鞔a不停在變,持續(xù)集成的形式相當(dāng)有用;而且擁有持續(xù)代碼審計(jì)也可以在不得不修復(fù)或更新時(shí)節(jié)省大量時(shí)間。一款好RASP容器工具應(yīng)能標(biāo)記異常行為,緩解潛在威脅,并能夠隔離特定事件以供后續(xù)進(jìn)一步取證分析。

2. 防護(hù)托管著容器的底層主機(jī)

大多數(shù)情況下,這意味著運(yùn)行精簡(jiǎn)版LInux,只留下必要的服務(wù)以減小潛在攻擊界面。有些工具就是設(shè)計(jì)來(lái)強(qiáng)化主機(jī)自身的。另一個(gè)辦法是采用上面提到過(guò)的Docker控制組,以及隔離名字空間以反映你的安全策略和防止容器間相互感染。有些商店使用來(lái)自云提供商的虛擬專用連接來(lái)實(shí)現(xiàn)該隔離操作。該過(guò)程包含應(yīng)用訪問(wèn)級(jí)別和其他機(jī)制來(lái)隔離工作負(fù)載,以及限制每臺(tái)主機(jī)上運(yùn)行的容器數(shù)量。出于這個(gè)原因,有些商店甚至一臺(tái)主機(jī)只運(yùn)行一個(gè)容器。

3. 保護(hù)容器內(nèi)容安全

這里討論的是鏡像的軟件供應(yīng)鏈。這是構(gòu)建容器的基石,所以一項(xiàng)重要的基本功能就是要能夠保證鏡像源完整性防護(hù),也就是當(dāng)員工或提供原始容器鏡像的開(kāi)源項(xiàng)目對(duì)鏡像做了修改時(shí),你得清楚到底改動(dòng)了哪些東西。

鑒于很多容器都在互聯(lián)網(wǎng)上共享的事實(shí),能夠掃描容器鏡像以確保不受感染是一項(xiàng)很有用的功能。那么,你的掃描頻率如何,能不能自動(dòng)化掃描呢?能從可信源獲取鏡像固然很好,但每個(gè)人都會(huì)犯錯(cuò),意外引入安全問(wèn)題是不可避免的。

不過(guò),對(duì)有些商店,你卻不用擔(dān)心容器里有哪些漏洞。這聽(tīng)起來(lái)令人驚訝,但確實(shí)有意義——只除了一點(diǎn):除非你能保證容器邊界足夠安全,或者你應(yīng)用程序的實(shí)際代碼不觸及容器代碼有漏洞的部分。你對(duì)自家安全工具的自信程度,可能是決定漏洞容忍度的最終因素。

新聞標(biāo)題:如何做好容器安全
標(biāo)題網(wǎng)址:http://jinyejixie.com/news/98741.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站制作、建站公司、微信公眾號(hào)、定制開(kāi)發(fā)、App開(kāi)發(fā)、電子商務(wù)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

搜索引擎優(yōu)化
广昌县| 中卫市| 临潭县| 信丰县| 大埔区| 张家口市| 小金县| 德惠市| 井冈山市| 赤水市| 丁青县| 张家界市| 杭锦旗| 阿鲁科尔沁旗| 那坡县| 陆河县| 云梦县| 乐陵市| 杭锦旗| 固原市| 谷城县| 锦州市| 西安市| 东莞市| 江山市| 尼木县| 德惠市| 腾冲县| 平山县| 康马县| 拜城县| 正蓝旗| 北安市| 新蔡县| 龙州县| 汽车| 景德镇市| 阳山县| 玉林市| 九龙坡区| 甘孜县|