ในที่สุดคุณก็หลงรัก Docker มากที่คุณต้องการย้ายระบบการผลิตที่สำคัญทางธุรกิจออนไลน์พร้อมข้อมูลลูกค้าที่สำคัญไปยัง Docker Swarm บางคนอาจทำไปแล้ว องค์กรอื่นไม่สามารถจ่ายได้โดยนโยบายห้ามกระบวนการผลิตที่ทำงานในโหมดรูท
รายการตรวจสอบของ Building Block ที่ต้องพิจารณาสำหรับสภาพแวดล้อมการผลิต Docker คืออะไร หนึ่งไม่ต้องการทั้งหมดของพวกเขา แต่ทุกคนควรมีความสำคัญที่จะได้รับการประเมิน
คำเตือน: ฉันรู้ว่ามีนโยบาย SE เพื่อหลีกเลี่ยง "รายการที่ไม่มีที่สิ้นสุดขนาดใหญ่" แต่ฉันคิดว่ารายการตรวจสอบนี้ไม่สามารถใหญ่มาก ... และไม่มีที่สิ้นสุดในตอนนี้
ตึกตึกเหล่านี้คืออะไร?
- หากยังไม่ได้ปรับใช้ให้ลองใช้ระบบโฮสต์ Linux ที่มีการตั้งค่าความปลอดภัยขั้นสูง - เคอร์เนลที่มีความแข็ง, SELinux เป็นต้น
- ลองใช้ภาพฐานขนาดเล็กของ Docker เช่นอัลไพน์ busybox หรือเริ่มต้นเช่นเริ่มต้นด้วยภาพฐานเปล่า
- ใช้การตั้งค่า USER นอกเหนือจากรูท
- ประเมินอย่างรอบคอบเพื่อลดชุดของความสามารถเคอร์เนลที่หดตัวไปแล้วให้กับคอนเทนเนอร์
- พิจารณามีไบนารีที่ปฏิบัติการได้เพียงหนึ่งรายการต่อคอนเทนเนอร์เพื่อเริ่มกระบวนการของคุณเชื่อมโยงแบบคงที่
- ผู้ที่ต้องการทำลายระบบของคุณเพื่อรับสิทธิ์การเข้าถึงเชลล์อาจสงสัยว่าพวกเขาพบว่าคอนเทนเนอร์ของคุณปิดการใช้งานเชลล์หรือไม่
- เมานต์โวลุ่มอ่านอย่างเดียวที่ทำได้เท่านั้น
คำถาม: มีอะไรอีกบ้าง?
devsecops
หมายถึงอะไร
Consider using a tiny Docker base image, like alpine, busybox or even scratch e.g. start with an empty base image
เพิ่มความปลอดภัย