Безопасная оркестрация контейнеров

Материал из Хранилище статей, решений, продуктов и сервисов DevOps
Перейти к: навигация, поиск

Пять пунктов залога безопасности контейнеров:

  • У вас настроено беспрерывное двунаправленное сканирование уязвимостей, причем список известных уязвимостей постоянно обновляется в автоматическом режиме
  • Сетевой сканер беспрерывно сканирует структуру сети и оперативно оповещает CSO о всех изменениях
  • Автоматический карантин скомпрометированных контейнеров
  • Цифровые подписи, ключи и сертификаты включены на уровне авторизации вашего оркестратора
  • На средства безопасности у вас выделен отдельный бюджет

Двунаправленное сканирование уязвимостей - ключевой аспект безопасности. Он состоит из двух частей - "агента" и "сервера". Агент устанавливается на каждом образе контейнеров, выполняя необходимые проверки безопасности - как на системном уровне, так и на уровне приложений. Каждый квант времени агент высылает статистику на сервер. В свою очередь сервер выполняет запросы к контейнеру и сверяет их результаты. Разность будет сообщать о вероятности скомпрометированных контейнеров, которые необходимо отправлять в карантин.

Рабочий пример: На контейнере есть агент, который оповещает об изменениях ssh Host key. Сервер выполняет коннект к ssh и обнаруживает, что ssh fingerprints не изменились - следовательно, есть вероятность взлома на уровне MITM. Так как уровень ssh является критичным - контейнер переходит в карантин.