国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

企業(yè)級容器安全最佳實踐

AJie / 1296人閱讀

由于容器虛擬化技術(shù)可以充分利用硬件資源,對于開發(fā)團(tuán)隊就像夢想照進(jìn)了現(xiàn)實。盡管容器化沒有推翻虛擬機(jī)在企業(yè)應(yīng)用開發(fā)和部署上的地位,但是Docker等工具在實現(xiàn)開發(fā)、測試和部署大規(guī)模現(xiàn)代軟件的速度和敏捷性方面大展身手。Docker容器具有諸多優(yōu)點:無需復(fù)雜的hypervisor、可移植性、資源隔離性、輕量級、開放標(biāo)準(zhǔn)、完美適應(yīng)微服務(wù)架構(gòu)。眾多的應(yīng)用通過容器隔離起來,相互獨立地運行在同一臺宿主機(jī)上,哪家公司不喜歡呢?

容器的速度和易用性帶來了無限的可能,開發(fā)團(tuán)隊很容易被吸引。迄今為止,Docker容器的下載量已經(jīng)超過4個億。但是,對于容器化的擔(dān)憂真真切切地存在。如果你被一時的熱情沖昏了頭腦,反而會適得其反,無法利用容器的潛力,阻礙開發(fā)的快速迭代和創(chuàng)新。如果你的公司決定要安全地?fù)肀ocker,你需要謹(jǐn)慎地處理安全問題并避免牛仔編程文化。

需要澄清的是,Docker聲稱自己是安全的,但關(guān)鍵在于你必須負(fù)責(zé)任地使用。當(dāng)你開始使用Docker,你會在鏡像倉庫(repos)發(fā)現(xiàn)有很多可下載的模板(“images”),它提供了一條編寫微服務(wù)應(yīng)用的捷徑,從而大大加快開發(fā)速度。問題是你如何判斷哪些images是安全的,是否包含漏洞。個人開發(fā)者可能不太關(guān)心Image的漏洞,但是對于企業(yè),安全和數(shù)據(jù)審查是至關(guān)重要的,必須有人維護(hù)。那么問題就來了:如何將企業(yè)的安全策略應(yīng)用于Docker呢?

Docker最佳實踐

非營利組織網(wǎng)絡(luò)安全中心(CIS)針對docker的安全配置發(fā)布了一個詳盡的、超過100頁的基準(zhǔn)測試結(jié)果,有一些特定的點需要關(guān)注一下。

1. 關(guān)注你使用的鏡像(images)

所有容器都來源于鏡像,比較典型的是操作系統(tǒng)及其附屬項(shell, default users, libraries, 依賴包)。正如Docker安全的一個頁面上所描述:Docker容器運行的一個主要風(fēng)險是:默認(rèn)設(shè)置提供的隔離可能是不完善的,一方面是因為配置參數(shù)時只能考慮單個因素,另一方面鏡像可能包含操作系統(tǒng)漏洞。因此,這需要使用者去修改容器配置和驗證鏡像——這條規(guī)則適用于每一個容器。

2. 實現(xiàn)自動化部署的代理(agent)

Agent可以協(xié)助你設(shè)置容器的安全參數(shù),因為它能夠自動獲取鏡像(image)的信息并將其展現(xiàn)給你。雖然Docker Hub上的鏡像在不斷檢查、共享和更新,你不能依賴郵件列表和問題報告來發(fā)現(xiàn)和管理漏洞。單個容器的安全仍然需要用戶自己去負(fù)責(zé),所以你需要自己去檢查依賴。你的鏡像倉庫里有哪些鏡像,鏡像是如何運作的,你都應(yīng)該理解,并且擁有自己的掃描和檢查機(jī)制。Agent很適合做這項工作,因為不管是運行在宿主機(jī)上,還是容器中,Agent的系統(tǒng)開銷都很小。

3. 以什么方式運行容器

運行容器最安全的方式之一是是在只讀模式下運行,容器不能被修改,而對于其他人訪問的權(quán)限都沒有。如果你在只讀模式下運行,就不需要給每個容器配置一個agent了,也可以重用你驗證過的鏡像。如果容器以讀/寫模式運行,最好的做法是在每個容器一個代理。同時設(shè)定一些規(guī)則,不允許從公有倉庫下載鏡像,也不允許root下運行容器。

4. 管理容器與外部的交互

一個運行的容器可以暴露端口到宿主機(jī)的任何一個網(wǎng)卡(network interface)——這是極其危險的。一個解決辦法是只暴露宿主機(jī)的一個網(wǎng)卡到外網(wǎng),任何外部來的請求,比如入侵檢測,入侵預(yù)防、防火墻、負(fù)載均衡等均通過這個網(wǎng)卡處理。容器端口也應(yīng)該綁定到宿主機(jī)上一個授權(quán)的可信端口。

5. 需要熟練的Linux管理技巧

Docker支持很多安全增強(qiáng)選項,但默認(rèn)情況下是沒有設(shè)置的。因此,你需要一個Linux專家來管理基礎(chǔ)設(shè)施,以保證Docker容器正常運作,并防止宿主機(jī)被誤配置。

總的來說,企業(yè)使用Docker的最佳策略是結(jié)合CIS基準(zhǔn)安全測試與企業(yè)現(xiàn)有的安全策略,為企業(yè)內(nèi)的Docker容器建立一套安全配置“姿勢”,并給開發(fā)團(tuán)隊創(chuàng)造一個安全的實驗環(huán)境。

本文由時速云工程師趙帥龍編譯,原文鏈接:企業(yè)級容器安全最佳實踐

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/26482.html

相關(guān)文章

  • 細(xì)數(shù)你不得不知的容器安全工具

    摘要:你首先需要了解的安全工具之一就是。是另一個可為進(jìn)行安全漏洞掃描的工具。和相似,是的安全審核工具。和其他容器安全工具不同,使用創(chuàng)建自定義配置文件非常容易。月日,北京海航萬豪酒店,容器技術(shù)大會即將舉行。 網(wǎng)絡(luò)安全問題的重要性大概毋庸置疑,最近無數(shù)關(guān)于惡意軟件和安全漏洞的消息已充分證明了這一點。 假如你要管理一個Docker環(huán)境,并希望幫助自己的公司或用戶在下一個大漏洞來臨時避免遇到麻煩,那...

    劉德剛 評論0 收藏0
  • 細(xì)數(shù)你不得不知的容器安全工具

    摘要:你首先需要了解的安全工具之一就是。是另一個可為進(jìn)行安全漏洞掃描的工具。和相似,是的安全審核工具。和其他容器安全工具不同,使用創(chuàng)建自定義配置文件非常容易。月日,北京海航萬豪酒店,容器技術(shù)大會即將舉行。 網(wǎng)絡(luò)安全問題的重要性大概毋庸置疑,最近無數(shù)關(guān)于惡意軟件和安全漏洞的消息已充分證明了這一點。 假如你要管理一個Docker環(huán)境,并希望幫助自己的公司或用戶在下一個大漏洞來臨時避免遇到麻煩,那...

    zhoutk 評論0 收藏0
  • 贏得Docker挑戰(zhàn)最佳實踐

    摘要:因此,將應(yīng)用程序部署到生產(chǎn)需要數(shù)周或數(shù)月。它將改變應(yīng)用程序開發(fā)過程,但某些挑戰(zhàn)必須克服從而使得企業(yè)獲得最大好處。平臺將促進(jìn)的發(fā)展,并且?guī)椭渎男凶约旱某兄Z。 showImg(https://segmentfault.com/img/bVpNBt); 難怪Docker正在迅速發(fā)展。Docker,一個開源項目。僅僅兩年,Docker價值近10億美元,最近獲得了9500萬美元的資金。令人激動...

    fou7 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<