คำถามติดแท็ก devsecops

6
อะไรคือวิธีปฏิบัติที่ดีที่สุดและครอบคลุมในการพิจารณาเมื่อใช้นักเทียบท่าในการผลิต
ในที่สุดคุณก็หลงรัก Docker มากที่คุณต้องการย้ายระบบการผลิตที่สำคัญทางธุรกิจออนไลน์พร้อมข้อมูลลูกค้าที่สำคัญไปยัง Docker Swarm บางคนอาจทำไปแล้ว องค์กรอื่นไม่สามารถจ่ายได้โดยนโยบายห้ามกระบวนการผลิตที่ทำงานในโหมดรูท รายการตรวจสอบของ Building Block ที่ต้องพิจารณาสำหรับสภาพแวดล้อมการผลิต Docker คืออะไร หนึ่งไม่ต้องการทั้งหมดของพวกเขา แต่ทุกคนควรมีความสำคัญที่จะได้รับการประเมิน คำเตือน: ฉันรู้ว่ามีนโยบาย SE เพื่อหลีกเลี่ยง "รายการที่ไม่มีที่สิ้นสุดขนาดใหญ่" แต่ฉันคิดว่ารายการตรวจสอบนี้ไม่สามารถใหญ่มาก ... และไม่มีที่สิ้นสุดในตอนนี้ ตึกตึกเหล่านี้คืออะไร? หากยังไม่ได้ปรับใช้ให้ลองใช้ระบบโฮสต์ Linux ที่มีการตั้งค่าความปลอดภัยขั้นสูง - เคอร์เนลที่มีความแข็ง, SELinux เป็นต้น ลองใช้ภาพฐานขนาดเล็กของ Docker เช่นอัลไพน์ busybox หรือเริ่มต้นเช่นเริ่มต้นด้วยภาพฐานเปล่า ใช้การตั้งค่า USER นอกเหนือจากรูท ประเมินอย่างรอบคอบเพื่อลดชุดของความสามารถเคอร์เนลที่หดตัวไปแล้วให้กับคอนเทนเนอร์ พิจารณามีไบนารีที่ปฏิบัติการได้เพียงหนึ่งรายการต่อคอนเทนเนอร์เพื่อเริ่มกระบวนการของคุณเชื่อมโยงแบบคงที่ ผู้ที่ต้องการทำลายระบบของคุณเพื่อรับสิทธิ์การเข้าถึงเชลล์อาจสงสัยว่าพวกเขาพบว่าคอนเทนเนอร์ของคุณปิดการใช้งานเชลล์หรือไม่ เมานต์โวลุ่มอ่านอย่างเดียวที่ทำได้เท่านั้น คำถาม: มีอะไรอีกบ้าง?
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.