Bästa praxis för säkerhet – Bygg en robust dockarkontainer

Säkra din Docker-behållare …


Docker har kommit långt och strävar konsekvent efter att bygga en mycket funktionell men ändå en säker produkt, lägger fram bästa praxis och är mycket lyhörd för alla sårbarheter eller problem.

Sedan starten har Docker haft en betydande ökning i antagandet år för år. När du ställer upp omsorgsfullt, utan ett element av okunnighet, blir Docker en kraftfull tillgång som du utan tvekan skulle garantera för din IT-praxis.

Uppgiften att säkerställa din behållarmiljö ligger inte bara på att härda containrarna eller servrarna som de så småningom kör på utan måste strategiseras för att ta hand om varje minsta åtgärd direkt från att dricka behållarbilden från ett register till när behållaren skjuts till produktionsvärlden.

Eftersom containrarna vanligtvis distribueras med DevOps-hastigheten som en del av CI / CD-ramverket är det absolut nödvändigt att få fler uppgifter automatiserade som förbättrar effektiviteten, produktiviteten, granskning / loggning och därmed hanteringen av säkerhetsproblem.

Följande ger en översikt över de säkerhetsrelaterade bästa praxis som du bör ta hand när du antar Docker.

Autentisk dockningsbild

Många gånger använde utvecklare bas Docker-bilder snarare än att bygga om från grunden. Men nedladdning av dessa bilder från opålitliga källor kan lägga till säkerhetsproblem.

Det är därför ogenomträngligt att kontrollera äktheten innan du laddar ner bilden med följande försiktighetsåtgärder:

  • Använda basbilden från pålitliga källor som Docker Hub som har bilder som skannas och granskas av Dockers säkerhetsskanningstjänster.
  • Använda basbilden som är digitalt signerad av Docker Content Trust som skyddar mot förfalskning.

Auktoriserad åtkomst

När du arbetar i stora team är det viktigt att konfigurera rollbaserad åtkomstkontroll (RBAC) för din Docker-containerstapel. Stora företagsorganisationer använder kataloglösningar som Active Directory för att hantera åtkomst och behörighet för applikationer i hela organisationen.

Det är väsentligt att ha en bra åtkomsthanteringslösning för Docker på plats som gör det möjligt för behållarna att arbeta med minimala privilegier och åtkomst som krävs för att få den uppgift som i sin tur minskar riskfaktorn.

Detta hjälper till att ta hand om skalbarheten med det växande antalet användare.

Känslig informationshantering

Enligt Docker Swarm tjänster, hemligheter är den känsliga uppgiften som inte bör kommuniceras eller lagras okrypterad i Dockerfile eller applikationens källkod.

Hemligheter är känslig information som lösenord, SSH-nycklar, tokens, TLS-certifikat, etc. Hemligheter är krypterade under transitering och i vila i en Docker-svärm. En hemlighet är endast tillgänglig för de tjänster som uttryckligen har beviljats ​​åtkomst och endast när dessa tjänster körs.

Det är viktigt att se till att hemligheterna endast ska vara tillgängliga för de relevanta behållarna och inte ska utsättas eller lagras på värdnivå.

Kodnivå och applikation Runtime Security

Dockersäkerhet börjar på värdnivå, så det är viktigt att hålla operativsystemet värd uppdaterat. Processerna som körs inuti behållaren bör också ha de senaste uppdateringarna genom att använda den bästa säkerhetsrelaterade kodningspraxis.

Du måste huvudsakligen se till att behållarna som installeras av tredjepartsleverantörer inte laddar ner något och kör någonting under körning. Allt som en Docker-behållare kör måste deklareras och ingå i den statiska behållarbilden.

Namnområdes- och gruppgruppsbehörigheter bör tillämpas optimalt för åtkomstisolering och för att kontrollera vad varje process kan modifiera.

Behållare ansluter till varandra över hela klustret vilket gör att deras kommunikation begränsar synligheten för brandväggar och nätverksverktyg. Att utnyttja nanosegmentering kan vara resursfullt för att begränsa sprängradie vid attacker.

Komplett livscykelhantering

Behållarsäkerhet ligger på hur du hanterar behållarens livscykel som innebär rätt från skapande, uppdatering och borttagning av containrar. Behållarna ska behandlas som oföränderliga, istället för att ändra eller uppdatera den löpande behållaren med uppdateringar, skapar en ny bild och testar dessa containrar noggrant för sårbarheter och ersätter befintliga behållare.

Begränsa resurser

Dockers är lätta processer eftersom du kan köra fler containrar än virtuella maskiner. Detta är fördelaktigt för att utnyttja värdresurserna optimalt. Även om det kan orsaka ett hot om sårbarheter som förnekande av attack som kan hanteras genom att begränsa systemresurserna som enskilda containrar kan konsumera genom behållarramen, t.ex..

Övervakning av behållaraktivitet

Liksom alla andra miljöer är det viktigt att hela tiden aktivt övervaka användaraktiviteten runt ditt containerekosystem för att identifiera och fixa skadliga eller misstänkta aktiviteter.

Revisionsloggar måste införlivas i applikationen för att spela in händelser som när kontot skapades och aktiverades, för vilket ändamål, när det senaste lösenordet uppdaterades och liknande åtgärder på organisationsnivå.

Att ha implementerat sådana granskningsspår runt varje behållare som du skapar och distribuerar för din organisation kommer att vara bra att identifiera en skadlig intrång.

Slutsats

Docker, enligt design, är byggd med bästa säkerhetspraxis i åtanke, så säkerhet är inte en fråga i containrar. Men det är avgörande att du aldrig släpper din vakta och vara vaksam.

Med fler uppdateringar och förbättringar som kommer upp och implementerar dessa funktioner kommer det att hjälpa till att bygga säkra appar. Att utnyttja behållarsäkerhetsaspekter som containerbilder, åtkomst- och behörighetsrättigheter, containersegmentering, hemligheter och livscykelhantering i IT-metoder kan säkerställa optimerad DevOps-process med minimala säkerhetsproblem.

Om du är helt ny på Docker kan du vara intresserad av detta online-kurs.

TAGGAR:

  • Hamnarbetare

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector