一千萬個為什麽

搜索

真實世界驗證碼頭集裝箱的完整性



我對圍繞Docker安全性的信息和體驗感興趣。我想了解用戶/客戶端可以驗證圖像內容的方式,以確保打包的應用程序/文件符合其組織/行業標準實踐。

I've been reading online about security as far as establishing trust to validate the integrity and the publisher of data received from a registry(https://docs.docker.com/engine/security/trust/content_trust/), as well as Security Assurance of Docker Containers(https://www.sans.org/reading-room/whitepapers/cloud/security-assurance-docker-containers-37432)>, and I see some useful information around tools and practices to validate the security of containers and images.

我有興趣探索更多的工具是OpenSCAP docker工具( https://www.open-scap.org/resources/documentation/security-compliance-of-rhel7-docker-containers/ )以及Docker Bench for Security( https://github.com/docker/docker-bench-security )和Dockscan( https://github.com/kost/dockscan )。

我的問題是,在部署容器和共享映像或將Docker作為在內部/外部客戶端部署應用程序的解決方案時,是否有任何處理安全性/合規性的經驗?如果是這樣,你如何建議一個組織最好地處理這個話題?

轉載註明原文: 真實世界驗證碼頭集裝箱的完整性

一共有 1 個回答:

2017年的預期

Docker正在從主機管理中獲得一些自由,而不是重新開發包管理所做的所有事情。 Docker映像只是另一種封裝格式。這是非常新的,所以我認為這個問題是Docker生態系統不斷增長的一部分。

基本要求/標準

對於安全的可信容器,只有在使用它們的情況下才使用它們  1.按現行標準進行測試  2.加密簽名  3.針對漏洞數據庫檢查不安全的依賴關系

也許有一種方法,但在研究人員發現新的漏洞後,我看不到一種不信任簽名且可信的Docker鏡像的方法。這只是問題中引用的工具集中的一個缺口。

您是否打算使用雲端Docker服務?容器的內存是加密的還是至少在內核上被混淆了(容器只是進程)?

你的Docker主機是否安全?

http://ieeexplore.ieee.org/document/7562068/ http://ieeexplore.ieee.org/document/7397244/

安全經濟

最後,你永遠無法逃避檢查所有事情的經濟性,所以需要對Docker提供的速度給予一定的尊重,而不必擔心所有這些東西。當你知道你正在處理敏感信息,並且你知道你需要鎖定執行時,它需要的措施還沒有作為商品解決方案提供(2017年)。任何事情都比沒有好,所以要部署一些工具,讓你的腳踏實地。

Hubblestack?

請關註 HubbleStack 。它提供了一個Docker鏡像,可以將其插入,以針對實時數據庫的漏洞運行審計(和修復)。如果他們將Docker信任永遠留在範圍之外,我會感到驚訝。另外,如果您擁有Docker主機,則可以使用root來掃描所有容器。這種事情屬於DevOps自動化測試和驗證周期。

  1. 獲取某種檢查點以獲取管道中的安全性
  2. 保持未管理的安全問題積壓(工具中的漏洞?CVE?)
  3. 通過您現在可以完成的工作,按照當前的資金來確定積壓優先級
  4. 參與devops開發和發布計劃
  5. 讓軟件相信您對您擁有的資源做得最好