加入收藏 | 设为首页 | 会员中心 | 我要投稿 甘孜站长网 (https://www.0836zz.com.cn/)- 运维、物联设备、数据计算、智能推荐、云管理!
当前位置: 首页 > 站长资讯 > 动态 > 正文

Docker容器安全管控方法

发布时间:2021-03-07 13:47:34 所属栏目:动态 来源:互联网
导读:与运行容器)操作;Docker的应用环境可被分为非生产环境和 生产环境 这两类。 非生产环境与 Dev(开发)强相关,而生产环境则与Ops(运维)强相关。非生产环境内的主要管控点是镜像深度扫描,在生产环境做容器编排时需要从非生产环境拉取并运行Docker镜像,因此镜

与运行容器)操作;Docker的应用环境可被分为“非生产环境”和 “生产环境” 这两类。

非生产环境与 Dev(开发)强相关,而生产环境则与Ops(运维)强相关。非生产环境内的主要管控点是镜像深度扫描,在生产环境做容器编排时需要从非生产环境拉取并运行Docker镜像,因此镜像运行控制也是一个主要管控点。

生产环境内的主要管控点是容器系统入侵检测与防护以及容器网络入侵检测与防护。同时,应在Docker容器全生命周期中的各个阶段将合规基线问题作为重要的管控点。

下面从Docker容器安全的各个主要管控点出发,列举部分它们所应对的安全问题。

1. 镜像深度扫描

在做镜像深度扫描时,应重视的安全问题包括但不限于:

  • 镜像中的操作系统软件包与应用程序依赖项包含已知CVE漏洞
  • 镜像的应用目录被植入Webshell
  • 镜像敏感信息泄露
  • 镜像完整性校验问题

Dockerfile中存在不安全的写法(Dockerfile是Docker镜像的构建脚本)

2. 镜像运行控制

在做镜像运行控制时,应重视的安全问题包括但不限于:

  • 镜像完整性校验问题
  • 特权模式共享root权限
  • 内存配额未被限制
  • CPU优先级未被限制
  • 存储空间配额未被限制
  • 在启用容器时使用Host网络模式

3. 容器系统入侵检测与防护

在做容器系统入侵检测与防护时,应重视的安全问题包括但不限于:

  • 未隔离文件系统
  • 调用有漏洞的系统内核函数
  • 拒绝服务攻击

4. 容器网络入侵检测与防护

在做容器网络入侵检测与防护时,应重视的安全问题包括但不限于:

  • 容器间的局域网攻击
  • Remote API接口安全
  • Docker缺陷架构与安全机制纰漏
  • 微服务架构Web应用安全问题

5. 安全合规基线

为了应对Docker安全问题,应重视的安全问题包括但不限于:

  • 内核级别

(编辑:甘孜站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读