白眉大叔
常用的安全建议如下:
禁止容器使用 root 用户
控制特权模式使用
控制系统调用使用
限制系统资源使用
使用可信基础镜像
精简镜像,减少受攻击可能性
及时更新漏洞库并周期性执行镜像扫描
使用镜像前,提前进行镜像扫描
使用带有认证功能的镜像仓库,保证客户端身份有效性
容器提供了将应用程序的代码、配置、依赖项打包到单个对象的标准方法,其本质是隔离一个
运行环境,每个封装好的容器彼此相互隔离。但各个容器之间需要互相共享内核,分别通过
Linux 内核本身提供的 Namespace 与 Cgroups 两项关键技术实现。
容器一共有 7 个攻击面:Linux Kernel、Namespace/Cgroups/Aufs、Seccomp-bpf、Libs、
Language VM、User Code、Container(Docker) engine。
因此需要针对这七个攻击面制定相应的安全措施。例如 Docker 等容器引擎需要访问系统资源,
有 root 权限才方便为了整个系统的安全,对于整个系统而言,必须严格控制访问权限,不能随
意 root 权限,需要明确划分出一块区域与其他容器和资源隔离,同时配以容器和资源实时监
控,确保容器运行安全。
与用户权限相关的安全建议:
因此常用的安全建议如下:
·
·
·
·
禁止容器使用 root 用户
控制特权模式使用
控制系统调用使用
限制系统资源使用
6-panbaidu/6小时掌握Docker和K8s架构核心%20小课课件/云原生领域10本电子书/云原生时代容器云的技术发展趋势.pdf
欢迎来撩 : 汇总all
