如何做好容器安全（如何做好容器安全工作）

保护Docker和容器基础设施安全需要打组合拳，综合应用策略、工具和审慎的利用检查。

　　

　　Gartner将容器安全列为其本年度10大安全顾虑之一，也许是时候进一步审视并找出切实的容器安全实现方案了。虽然容器已面世10年，但其轻量且可重用的代码、灵活的功能和更低的开发本钱，令容器的流行程度有增无减。但没有甚么工具是万能的。我们无妨再仔细考察一下保护开发环境所需的各种工具、容器本身所用工具和出于监视/审计/合规目的工具吧。

　　从以下几个基本步骤开始：

　　1. 熟习云提供商交付的工具

　　第一步就是熟习云提供商的内置安全措施，比如 Azure Security Center、谷歌Kubernetes Engine、谷歌 Cloud Security Command Center和亚马逊Inspector。其中有些是通用安全工具而非容器专用，比如 Azure Security Center。

　　2. 熟习原生Docker相干安全功能

　　包括应用策略避免资源滥用、设置访问控制组和确保清除没必要要的root权限。

　　3. 斟酌GitHub开源项目

　　某些情况下，Bench Security之类检查代码中最好安全实践的项目，和类似seccomp的其他Linux原生工具，是节省开支的不错选择。

　　总有很多软件有待学习和理解，但应重点查看几个经常使用功能，包括为用户及终究生成的利用所设的身份及身份验证措施，和控制这些访问权限的机制。另外，仍需要能够检查并审计日志文件，要能阅读并过滤日志文件以提供有益安全态势的可操作信息。最后，还要有用于保护API密钥和SSL凭证之类秘密的底层基础设施。这些秘密必须以加密情势存储。

　　是否是有点头晕眼花了?这还才刚刚开始呢。想要保护公司环境中的容器，下面3个领域是你不能不仔细斟酌的。

　　1. 保护开发环境

　　由于容器对开发人员而言非常有用，所以推动到DevSecOps非常有必要，但要记得在创建容器时即添加安全措施，而不是在项目匆忙上马留下诸多漏洞以后。保证利用安全历来都是最好实践。在选择正确的安全工具之前，你需要回答以下几个重要问题：

　　(1) 能够自动化哪些工作流以保持利用安全?

　　有些工具有助于实现该操作，特别是在编排方面。但是，很多编排工具专注于容器管理和扩大问题，未必斟酌到安全细节。找到功能和防护之间的恰当平衡也许没那末容易。

　　(2) 利用和用户访问控制的粒度该设成多细?

　　这里有必要了解这些控制的实现机制及其局限。比如说，哪些代码段和容用具备root/内核访问权限，是不是需要这么高的权限来完成任务。

　　(3) 应当使用运行时利用自防护(RASP)技术吗?

　　必须的。就像专注利用的RASP常规工具，有些工具专注于容器运行时利用保护，要末有静态扫描，要末利用开发环境延续集成。由于容器代码不停在变，延续集成的情势相当有用;而且具有延续代码审计也能够在不能不修复或更新时节省大量时间。一款好RASP容器工具应能标记异常行动，减缓潜伏要挟，并能够隔离特定事件以供后续进一步取证分析。

　　2. 防护托管着容器的底层主机

　　大多数情况下，这意味着运行精简版LInux，只留下必要的服务以减小潜伏攻击界面。有些工具就是设计来强化主机本身的。另外一个办法是采取上面提到过的Docker控制组，和隔离名字空间以反应你的安全策略和避免容器间相互感染。有些商店使用来自云提供商的虚拟专用连接来实现该隔离操作。该进程包括利用访问级别和其他机制来隔离工作负载，和限制每台主机上运行的容器数量。出于这个缘由，有些商店乃至一台主机只运行一个容器。

　　3. 保护容器内容安全

　　这里讨论的是镜像的软件供应链。这是构造容器的基石，所以一项重要的基本功能就是要能够保证镜像源完全性防护，也就是当员工或提供原始容器镜像的开源项目对镜像做了修改时，你得清楚到底改动了哪些东西。

　　鉴于很多容器都在互联网上同享的事实，能够扫描容器镜像以确保不受感染是一项很有用的功能。那末，你的扫描频率如何，能不能自动化扫描呢?能从可信源获得镜像固然很好，但每一个人都会出错，意外引入安全问题是难以避免的。

　　不过，某些情况下，对有些商店，你却不用担心容器里有哪些漏洞。这听起来使人惊讶，但确切成心义——只除一点：除非你能保证容器边界足够安全，或你利用程序的实际代码不触及容器代码有漏洞的部份。你对自家安全工具的自信程度，多是决定漏洞容忍度的终究因素。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。