您当前的位置:首页 > 电脑百科 > 程序开发 > 容器

容器安全:DevOps 工程师的五大优秀实践

时间:2023-04-11 11:45:37  来源:今日头条  作者:科技狠活与软件技术

容器安全确保您的云原生应用程序免受与容器环境相关的网络安全威胁。

 

 

容器化导致许多企业和组织以不同方式开发和部署应用程序。Gartner最近的一份报告表明,到 2022 年,超过 75% 的全球组织将在生产中运行容器化应用程序,高于 2020 年的不到 30%。然而,尽管容器具有许多好处,但它们无疑仍然是网络攻击的来源曝光,如果没有适当的保护。

以前,网络安全意味着保护一个“边界”。通过引入新的复杂层,容器使这个概念过时了。容器化环境具有更多的抽象级别,这就需要使用特定的工具来解释、监控和保护这些新应用程序。

什么是容器安全?

容器安全性使用一组工具和策略来保护容器免受影响应用程序、基础设施、系统库、运行时等的潜在威胁。容器安全涉及为容器堆栈实施安全环境,其中包括以下内容:

  • 容器镜像
  • 容器引擎
  • 容器运行时
  • 注册表
  • 主持人
  • 协调器

大多数软件专业人士自动假设 Dockerlinux 内核是安全的,不受恶意软件的侵害,这是一个很容易被高估的假设。

5 大容器安全最佳实践

1.主机和操作系统安全

容器提供与主机的隔离,尽管它们共享内核资源。经常被忽视的是,这一方面使攻击者更难但并非不可能通过内核利用来破坏操作系统,从而获得对主机的 root 访问权限。

运行容器的主机需要通过确保底层主机操作系统是最新的来拥有自己的一组安全访问权限。例如,它正在运行最新版本的容器引擎。理想情况下,您将需要设置一些监控以提醒主机层上的任何漏洞。此外,选择一个“瘦操作系统”,这将加速您的应用程序部署并通过删除不必要的包并使您的操作系统尽可能小来减少攻击面。

本质上,在生产环境中,无需让人工管理员通过 SSH 连接到主机来应用任何配置更改。相反,最好通过 IaC 使用Ansible或Chef 来管理所有主机, 例如。这样,只有协调器才能持续访问运行和停止容器。

2. 容器漏洞扫描

应定期对您的容器或主机进行漏洞扫描,以检测和修复黑客可能用来访问您的基础设施的潜在威胁。一些容器注册表提供这种功能;当您的图像被推送到注册表时,它会自动扫描它以查找潜在的漏洞。

一种主动的方法是通过采用“左移”理念在 CI 管道中设置漏洞扫描,这意味着您在开发周期的早期实施安全性。同样,Trivy 将是实现这一目标的绝佳选择。

假设您正尝试对本地节点设置这种扫描。在这种情况下,Wazuh 是一个可靠的选择,它将记录每个事件并根据多个 CVE(常见漏洞和暴露)数据库验证它们。

3.容器注册安全

容器注册表提供了一种方便且集中的方式来存储和分发图像。通常会发现组织在其注册表中存储了数千个图像。由于注册表对于容器化环境的工作方式非常重要,因此必须妥善保护它。因此,您应该考虑花时间监控和防止未经授权访问您的容器注册表。

4. Kube.NETes 集群安全

您可以采取的另一项措施是围绕您的容器编排加强安全性,例如防止来自过度特权帐户或网络攻击的风险。遵循最低特权访问模型,保护 pod 到 pod 通信将限制攻击造成的损害。在这种情况下,我们推荐的工具是Kube Hunter,它充当渗透测试工具。因此,它允许您在 Kubernetes 集群上运行各种测试,以便您可以开始采取措施来提高它的安全性。

你可能也对Kubescape感兴趣,它类似于 Kube Hunter;它会扫描您的 Kubernetes 集群、YAML 文件和 HELM 图表,为您提供风险评分:

 

 

5. 机密安全

容器或 Dockerfile 不应包含任何秘密。(证书、密码、令牌、API 密钥等)而且,我们仍然经常看到秘密被硬编码到源代码、图像或构建过程中。选择机密管理解决方案将使您能够将机密存储在安全、集中的保险库中。

结论

这些是您可以采取的一些主动安全措施来保护您的容器化环境。这一点至关重要,因为 Docker 出现的时间很短,这意味着其内置的管理和安全功能仍处于起步阶段。值得庆幸的是,好消息是可以使用多种工具轻松地在容器化环境中实现良好的安全性,例如我们在本文中列出的工具。



Tags:DevOps   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
什么是 DevOps?解读 IT 文化革命的目的和重要性
DevOps 将运维和开发相结合以提供持续的软件改进,可以降低复杂性并提高应用程序输出。 什么是 DevOps?DevOps 是组织用来创建和交付应用程序和服务的灵活实践和流程的集合,通过...【详细内容】
2024-01-12  Search: DevOps  点击:(77)  评论:(0)  加入收藏
从Kubernetes的探针到DevOps
今天在群里又看有人问如何设置 Kubernetes 的探针,感觉要补充的话太多了,结合我们在一些 DevOps 项目中痛苦的体验,今天一劳永逸的全部说完,此外,也为大家展现一下为什么 DevOps...【详细内容】
2023-12-27  Search: DevOps  点击:(116)  评论:(0)  加入收藏
14个工具,让 DevOps 和 SRE 遥遥领先!
作者 | Eduardo Messuti编译 | 小欧出品 | 51CTO技术栈(微信号:blog51cto)随着 DevOps 和 SRE 的不断发展,新一代工具应运而生。本文将深入探讨2024年最有前途的工具,它们正在塑...【详细内容】
2023-12-18  Search: DevOps  点击:(106)  评论:(0)  加入收藏
使用持续集成和部署管道简化DevOps流程
在软件开发领域,DevOps(DevelopmentandOperations)是一种将开发和运维团队紧密结合的方法论,旨在加快软件交付速度、提高质量和稳定性。然而,传统的软件开发流程中存在着繁琐的手...【详细内容】
2023-12-10  Search: DevOps  点击:(128)  评论:(0)  加入收藏
混合云中 DevOps 的最佳实践
近年来,出现了各种工具、技术和框架,其目标是增强灵活性、性能和可扩展性。传统的整体方法已被微服务和纳米服务等更加模块化的方法所取代。此外,云计算的兴起导致本地软件被云...【详细内容】
2023-11-08  Search: DevOps  点击:(72)  评论:(0)  加入收藏
一文讲透DevOps理论体系的演进
一、前言 当前,我国处于以信息化、数字化、网络化、智能化为特征的科技变革浪潮中,企业数字化转型大势所趋,那么作为支撑企业 IT 运转的运营体系也在向多元方向发展,比如 DevOps...【详细内容】
2023-11-01  Search: DevOps  点击:(221)  评论:(0)  加入收藏
八个优秀开源DevOps工具
DevOps(Development和Operations)是一组软件工程过程最佳实践,并非工具,旨在将制造世界的精益概念应用于软件世界。维基百科给出的定义是:“DevOps是一种重视软件开发人员(Dev)和IT...【详细内容】
2023-10-10  Search: DevOps  点击:(291)  评论:(0)  加入收藏
如何利用DevOps与Kubernetes提升软件交付效率?
在当今的软件开发领域,DevOps和Kubernetes已成为推动企业数字化转型的关键因素。DevOps是一种注重开发(Development)和运维(Operations)团队之间紧密协作的软件工程方法,而Kuberne...【详细内容】
2023-10-08  Search: DevOps  点击:(354)  评论:(0)  加入收藏
DevOps团队如何提高Kubernetes性能
编译 | 徐杰承今天,Kubernetes仍然是开发人员最需要的容器。Kubernets最初由 Google 工程师开发,作为跨本地、公共云、私有云或混合云托管的首选解决方案享誉全球。来自Statis...【详细内容】
2023-08-22  Search: DevOps  点击:(289)  评论:(0)  加入收藏
揭穿DevOps的5个谣言!
作者 | Aditi Agarwal 编译 | 徐杰承据不完全统计,软件故障每年都会给企业造成数十亿美元的损失,这也是为什么拥有一个可靠的软件交付流程是如此重要的原因,而DevOps能够帮助我...【详细内容】
2023-08-15  Search: DevOps  点击:(200)  评论:(0)  加入收藏
▌简易百科推荐
Docker 和传统虚拟机有什么区别?
我有一个程序员朋友,他每年情人节都要送女朋友一台服务器。他说:“谁不想在过节当天收到一台 4核8g 的服务器呢?”“万一对方不要,我还能留着自己用。” 给他一次过节的机会,他能...【详细内容】
2024-03-26  小白debug  微信公众号  Tags:Docker   点击:(12)  评论:(0)  加入收藏
掌握Docker网络驱动程序:优化容器通信
Docker为在容器内包装、交付和运行应用程序提供了一个强大的平台,从而彻底改变了容器化。网络是容器化的重要组成部分,Docker提供了各种网络驱动程序来支持容器之间的通信以...【详细内容】
2024-03-22    51CTO  Tags:Docker   点击:(11)  评论:(0)  加入收藏
Containerd容器管理
Nginx 指定容器名称 使用 ctr container create 命令创建容器后,容器并没有处于运行状态,其只是一个静态的容器。容器基本操作容器基本操作主要是 ctr image 命令,查看命令帮...【详细内容】
2024-03-20  云原生运维圈  微信公众号  Tags:容器   点击:(13)  评论:(0)  加入收藏
如何基于Docker镜像逆向生成Dockerfile
引言你是否曾经遇到过一个想要使用的 Docker 镜像,但却无法修改以适应你的特定需求?或者你可能发现了一个喜欢的 Docker 镜像,但想要了解它是如何构建的?在这两种情况下,将 Docke...【详细内容】
2024-03-07  云原生运维圈  微信公众号  Tags:Docker   点击:(23)  评论:(0)  加入收藏
Kubernetes是什么?主要特点是什么?
Kubernetes是什么?Kubernetes,也称为K8s,是一个开源的容器编排系统,由Google首次开发和维护。它允许容器化的应用程序在集群中自动部署、扩展和管理。Kubernetes提供了一种容器...【详细内容】
2024-02-01    简易百科  Tags:Kubernetes   点击:(160)  评论:(0)  加入收藏
我们一起聊聊容器资源自愈
在企业实际在使用容器这类资源的时候,除了技术本身,要考虑的其他问题也会很多。企业管理的容器有千千万万,出于效率考虑,对于有特殊需求的容器如何进行批量创建和管理呢,这就需要...【详细内容】
2024-01-30  匠心独运维妙维效  微信公众号  Tags:容器   点击:(47)  评论:(0)  加入收藏
Docker与Docker Compose入门:释放你应用部署的威力
今天给大家介绍一项强大而有趣的技能,那就是使用 Docker 和 Docker Compose 来释放你的应用部署的威力!无论你是一名开发人员还是系统管理员,掌握这个技能都将为你的工作带来巨...【详细内容】
2024-01-17  waynblog  微信公众号  Tags:Docker   点击:(66)  评论:(0)  加入收藏
Docker镜像与容器的交互及在容器内部执行代码的原理与实践
Docker作为一种流行的容器技术,已经成为现代应用程序开发和部署的重要工具。在Docker中,镜像是构建和运行容器的基础,而容器则是基于镜像创建的可执行实例。Docker镜像与容器的...【详细内容】
2024-01-10  编程技术汇  今日头条  Tags:Docker   点击:(78)  评论:(0)  加入收藏
如何在 Ubuntu 上安装 Docker
使用 Docker 意味着开启一个新的计算领域,但如果你刚刚开始使用 Docker,安装可能看起来是一项艰巨的任务。在 Ubuntu 上安装 Docker 有两种推荐的方法: 从 Ubuntu 的仓库安装 D...【详细内容】
2024-01-04    Linux中国  Tags:Docker   点击:(124)  评论:(0)  加入收藏
从Kubernetes的探针到DevOps
今天在群里又看有人问如何设置 Kubernetes 的探针,感觉要补充的话太多了,结合我们在一些 DevOps 项目中痛苦的体验,今天一劳永逸的全部说完,此外,也为大家展现一下为什么 DevOps...【详细内容】
2023-12-27  云云众生s  微信公众号  Tags:Kubernetes   点击:(116)  评论:(0)  加入收藏
站内最新
站内热门
站内头条