获得容器安全性提升
现在我们来了解固定容器的具体细节。首先查看正在构建的容器映像中的内容。这意味着了解您开始的任何基本映像,然后了解您的软件是如何放置在其中的。
使用容器镜像
帮助确保图像正确的一种方法是对容器图像进行签名并确保这些图像来自受信任的来源。这建立了一个信任系统,构建的内容可以正确部署到您的容器编排器。通过只允许已知的良好签名,您可以确保系统构建的内容与交付到生产系统中的内容相同。这样,攻击者就无法在您不知情的情况下更改图像并将其分发到您的系统内部。至少,您会意识到系统的变化。
验证依赖项
了解不同的层意味着您了解将您正在运行的代码位带给您的供应链。这有助于确保您免受供应链攻击,这些攻击多年来一直在增加。如果您不了解软件物料清单(SBOM) 是什么,这将是一个很好的起点。尝试并确保您的依赖项具有这些,以便您知道您的软件供应链是安全的。
确保安全运行时
现在您的容器已准备就绪,并且您已确保这是您要运行的软件。现在让我们专注于实际运行该软件。在容器环境中正确处理的第一件事就是正确隔离所有内容。这意味着要有良好的网络策略来确保已知容器与已知端点通信。甚至可以确保您遵循零信任政策。了解网络数据的流动方式和流向对于在威胁成为严重问题之前检测到它们至关重要。
遵循良好的安全策略
接下来,确保您为容器编排器遵循良好的安全策略。美国军方推荐了如何保护您的 Kubernetes 集群,并提供了可遵循的良好实践。例如,除了以非 root 身份运行之外,他们还建议:
-
确保您拥有不可变的文件系统 -
加密你的 etcd 数据库 -
创建显式网络拒绝策略 -
启用审核日志记录
工具
原文始发于微信公众号(网络研究院):什么是容器安全性,您如何提升自己的安全性?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论