保持容器基础设施安全的5个最佳办法
软件容器无疑正处于上升期的,开发人员在构建更高效且能迅速带到市场的原生云应用程序时,更会看重容器所提供的灵活性。同时由于容器所带来的资源利用率的提高,也有益于提高生产力,降低成本。有些人认为,容器的安全性低于部署虚拟机(VM),但在适当的实现中,容器可以提供更安全的环境。网络安全是一个复杂的问题,但业内人士都在致力于开发所需的工具和流程来解决这个问题。
此外,容器和VM不是非此即彼的命题。如果你愿意,也可以将容器部署到虚拟机上,或使用像英特尔Clear容器或开源Hyper这样的技术去实现一个两全其美的方案:同时具备VM的隔离性与容器的灵活性。
容器和分布式系统带来了一个进展,使得灵活性与速度超过了传统流程。而越迟应用的企业,竞争力则会越弱。一旦你决定迁移到容器部署,还要确保采取了适当的办法步骤去保护你的基础设施。
这里有5个最佳的办法,可保护你的分布式系统:
1、使用一个轻量级的Linux操作系统
一个轻量级的操作系统,除了其他的收益外,也降低了表面的易受攻击性。这也使得应用更新容易得多,因为操作系统更新与应用程序不挂钩,而且更新后重新启动会花费更少的时间。
2、保持所有图像是最新的
保持所有图像是最新的,确保它们被打补丁,以防止最新的漏洞利用。实现这一目标的最好方法是使用一个集中的存储库来帮助进行版本控制。通过使用版本号标记每个容器,更新会更容易管理。容器本身也持有自己的依赖性,需要维护。
3、自动安全更新
自动更新能确保补丁很快应用于基础设施,将发布补丁与应用于生产之间的时间间隔最小化。解耦的容器可以相互独立更新,并且可以迁移到另一个主机,如果主机操作系统需要更新的话。无需为基础设施安全更新会影响你堆栈的其他部分而担心。
4、扫描容器图像排 除潜在缺陷
有很多工具可以帮助你做到这一点。这些工具会对比容器的已知漏洞列表,且会对你进行提醒,无论它们是探测到了一些可能会影响你容器启动的旧漏洞还是发现了一个会影响你容器运行的新漏洞。
5、不要在容器中运行无关的面向网络的服务
不在容器中运行Secure Shell(SSH)被认为是最好的做法——对容器访问而言,编排API通常会有更好的访问控制。一个好的经验法则是,如果你不希望个人容器执行日常维护任务,就不要允许任何登录访问。相对于VM来说,设计一个生命更短的容器也是一个好办法,它可以确保每个生命周期都能够获得最新的安全性能。
容器领域的安全会继续发展。通过上文中概述的5个最佳办法,我希望能有助于消除容器不安全的言论,帮助企业更好地利用容器所带来的生产力,同时尽可能保证安全。
本文转自d1net(转载)
相关文章
- 工具:360安全浏览器最好用的稳定版本大全
- 服务器设计笔记(5)-----分享几个线程安全的容器
- 什么是线程安全
- 让业务容器化更安全便捷,阿里云容器镜像服务 ACR 推出免费制品中心
- 阿里云容器服务多项重磅发布:高效智能、安全无界的新一代平台
- 从零开始入门 K8s | Kata Containers 创始人带你入门安全容器技术
- 通过安全策咯关闭危险端口
- Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。
- 【转载】从Docker容器漏洞谈Docker安全
- CodeArts Repo:6大特性助力企业代码稳定可靠安全无忧
- 云小课|三大灵魂拷问GaussDB(DWS)数据落盘安全问题
- 云原生2.0时代:企业更应了解一下容器安全
- Go 使用互斥锁(sync.Mutex)实现线程安全的内存本地缓存(LocalCache)
- Shiro安全框架入门学习
- 100集华为HCIE安全培训视频教材整理 | Agile Controller访客管理特性(二)
- 内网渗透(五十七)之域控安全和跨域攻击-基于服务账户的非约束委派攻击
- 物联网安全——案例:思科的多款低端路由器(RV110、RV130和RV225)堆栈缓冲区溢出漏洞,检测方式:IPS能够检测部分
- NOSQL安全攻击
- 二十二、标志寄存器与栈(代码设计安全,与子程序寄存器安全类似)
- Kubernetes 容器安全 Seccomp 限制容器进程系统调用
- Kubernetes SecurityContext 安全上下文之 runAsUser以及阻止容器使用 root 户运行
- Kubernetes 最小化微服务漏洞 安全沙箱运行容器:gVisor介绍与安装