基于DevOps的容器安全优秀践行
发布时间:2022-09-02 11:01:56 所属栏目:安全 来源:互联网
导读:虽然云和容器的崛起,容器成了日常。容器的安全要求也随之而来,如何确定一个最适合业务的容器安全保障是大家最关注的问题。本文我们就来通过DevOps生命周期来全面考虑容器安全和各阶段的安全策略,更详细的工具介绍可以参考虫虫之前的文章从DevOps到DevSecOp
|
虽然云和容器的崛起,容器成了日常。容器的安全要求也随之而来,如何确定一个最适合业务的容器安全保障是大家最关注的问题。本文我们就来通过DevOps生命周期来全面考虑容器安全和各阶段的安全策略,更详细的工具介绍可以参考虫虫之前的文章从DevOps到DevSecOps,贯穿始终的安全栈。 在容器构建时,输入了一堆源文件和一个Dockerfile,输出为Docker镜像。该阶段有很多安全和云厂商提供了很多安全方案和镜像安全扫描工具。容器安全扫描非常重要,是的,光镜像扫描还远远不够。本部分的安全目标是最小化供应链攻击的风险。 1. 基础镜像的安全 首先,检查镜像的基础,重点是检查要引入的依赖项: 允许开发人员使用的基本镜像。 固定软件依赖性,依赖所要拉取的源。 是否需要通过标签来简化治理和合规性? 整理Dockerfile。 所有这些检查都是静态的,可以很容易在构建管道编写检查语实现。 2. 容器镜像扫描 然后,下一步就是扫描容器镜像。 不要在构建管道中扫描镜像,而是在容器注册表中设置连续扫描。 漏洞可能早就存在,如果在构建时才检查有点迟了。其次,构建是叠加的:每个构建都会生成一个新镜像。因此,通过扫描信任注册表,发布的每个标签都可以信任,而无需重复在每次构建时候都检查。最后由于镜像扫描需要时间,如果在构建时候扫描会影响构建的性能。 也可以考虑定义补丁程序管理和保质期流程: 补丁程序管理:扫描结果提供补丁程序,从而产生新版本的镜像 保质期:对于超过期限未修补/旧/不安全的镜像从注册表中予以删除。 本阶段可参考的工具:开源工具有Anchore,Clair,Dagda,商业化软件有Atomic和Docker Cloud。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号