Безопасная оркестрация контейнеров — различия между версиями

Пять пунктов залога безопасности контейнеров:

• У вас настроено беспрерывное двунаправленное сканирование уязвимостей, причем список известных уязвимостей постоянно обновляется в автоматическом режиме
• Сетевой сканер беспрерывно сканирует структуру сети и оперативно оповещает CSO о всех изменениях
• Автоматический карантин скомпрометированных контейнеров
• Цифровые подписи, ключи и сертификаты включены на уровне авторизации вашего оркестратора
• На средства безопасности у вас выделен отдельный бюджет

Двунаправленное сканирование уязвимостей - ключевой аспект безопасности. Он состоит из двух частей - "агента" и "сервера". Агент устанавливается на каждом образе контейнеров, выполняя необходимые проверки безопасности - как на системном уровне, так и на уровне приложений. Каждый квант времени агент высылает статистику на сервер. В свою очередь сервер выполняет запросы к контейнеру и сверяет их результаты. Разность будет сообщать о вероятности скомпрометированных контейнеров, которые необходимо отправлять в карантин.

Рабочий пример: На контейнере есть агент, который оповещает об изменениях ssh Host key. Сервер выполняет коннект к ssh и обнаруживает, что ssh fingerprints не изменились - следовательно, есть вероятность взлома на уровне MITM. Так как уровень ssh является критичным - контейнер переходит в карантин.