容器以及编排工具(例如Kubernetes)开创了应用开发的新时代,让微服务架构以及CI/CD的实现成为了可能。Docker是迄今为止最主要的容器运行时引擎。然而,使用Docker容器构建应用也引入了新的安全挑战和风险。
由于容器环境的复杂性和动态性,容器安全不同于传统的安全方法,Docker容器安全需要不同的安全策略。青藤基于在容器安全领域的研究,发布了《101文档:容器安全的关键指标》,感兴趣的读者可以扫码下载电子版方案。
扫码获取完整版 《101文档:容器安全的关键指标》
该报告主要包括常见的容器安全四大威胁,详解了从确保构建环节安全、确保运行时安全的安全策略,阐述了容器监控和审计的相关内容,从全生命周期确保容器免受恶意攻击。
本文主要介绍了Docker容器面临的8大安全风险和挑战,以及在构建和部署阶段确保环境安全、在运行时阶段确保Docker容器安全的26项检查清单。
过去,公司一般是在虚拟机(VM)或物理服务器上部署应用。而容器化的采用,带来了几个新的必须解决的新挑战。
下面是我们根据行业标准和客户要求,总结出的对于安全配置Docker容器和镜像的一些检查清单。
/var/lib/docker
/etc/docker
Docker.service
Docker.socket
/etc/default/docker
/etc/docker/daemon.json
/etc/sysconfig/docker
/usr/bin/containerd
/usr/sbin/runc
docker exec
命令时,不要使用特权容器或 user=root
选项,因为这种设置可能会让容器拥有扩展的Linux Capabilities。"docker0"
网桥。使用默认的网桥容易受到ARP欺骗和MAC洪泛攻击。容器应该使用用户自定义的网络,而不是默认的 "docker0"
网桥。Docker作为当今最流行的容器运行时引擎,其安全性不容忽视。本文中介绍的26个关于Docker安全的检查清单,是确保Docker环境安全和业务应用安全的关键所在。
如果您有关于Docker容器安全方面的任何问题,欢迎直接扫描下方二维码,领取《101文档:容器安全的关键指标》。
扫码下载《101文档:容器安全的关键指标》