Докер становится серьезно относящимся к безопасности

докер

Спустя два месяца после того, как Докер вводит новые поверхности для приложения усилий по безопасности, нового сравнительного теста для обеспечения дебютов развертывания контейнера Докера.В марте этого года Натан Макколи и Дайого Моника соединили Docker Inc. для приложения усилий по безопасности для контейнерного поставщика виртуализации.

Теперь, чуть более чем два месяца спустя, первые плоды Макколи и усилий Моники становятся очевидными с новым Центром отчета по результатам сопоставления Защиты в сети Интернет для Механизма Докера 1.6.Макколи вместе с VMware, Rakuten, Познавательным Масштабом и Exchange Международных безопасностей работал с некоммерческим Центром Защиты в сети Интернет для создания сравнительного теста, который определяет методы наиболее успешной практики для безопасного и надежного развертывания Механизма Докера с этих 1,6 выпусков. Механизм докера является базовым контейнерным компонентом виртуализации с открытым исходным кодом для Докера, и эти 1,6 выпуска дебютировали 16 апреля, обеспечивая новые возможности маркировки приложений-контейнеров виртуализации.Центр Защиты в сети Интернет (CIS) Механизм Докера 1.6 Отчета по результатам сопоставления не является легким документом, взвешивающимся в значительных 119 страницах.

Правин Гоял, старший член Технического Штата в VMware и соавторе Сравнительного теста Докера CIS, прокомментировал в сообщении в блоге, что существует 84 рекомендации в сравнительном тесте.«Цель этого сравнительного теста безопасности, как любое другое стабилизирующее руководство или документация безопасности для любого другого поставщика или продукта, состоит в том, чтобы выделить параметры конфигурации и другие безопасные рекомендации по развертыванию», записал Гоял. «Это разработано как категорический справочник для клиентов, желающих понять, как надежно настроить контейнеры к Ose Linux в производстве».Отчет идентифицирует шесть ключевых областей методов наиболее успешной практики для развертывания Докера.

Первой областью является конфигурация узла для операционной системы, в которой будет развернут Механизм Докера. Отчет о CIS рекомендует, чтобы пользователи Механизма Докера создали отдельный раздел для контейнеров и использовали обновленное ядро Linux.Вторая ключевая область, обращенная сравнительным тестом CIS, является конфигурацией демона Докера. Демон является системным процессом выполнения Механизм Докера.

Как наиболее успешная практика, CIS рекомендует, чтобы системные администраторы ограничили сетевой трафик между контейнерами и сконфигурировали TLS (безопасность Транспортного уровня) аутентификация. Дополнительно как третья область фокуса, существуют методы наиболее успешной практики для конфигурационных файлов демона Докера для обеспечения надлежащей принадлежности файла.Четвертая ключевая область находится в контейнерной установке файла образа и файла типа «build».

Сравнительный тест CIS рекомендует, чтобы администраторы не установили ненужные пакеты в контейнере. Пятая область фокуса имеет дело с контейнерным временем выполнения, со Сравнительным тестом CIS, рекомендующим использование обязательные средства управления доступом в Linux, включая SELinux (безопасность Улучшенный Linux) и AppArmor.

Наконец, шестой раздел сравнительного теста имеет дело с продолжающимися операциями безопасности Докера. Одна из ключевых рекомендаций там состоит в том, чтобы выполнить регулярные проверки защиты хост-системы, а также контейнеров.Docker Inc. теперь также опубликовала несколько более краткое введение в контейнерный отчет безопасности, который составляет только восемь страниц и предоставляет пользователям обзор того, как Докер может и должен быть надежно развернут. Введение Docker Inc. в контейнерный обеспечительный документ предоставляет основную информацию об ограничениях процесса, безопасности образа прикладного объекта и средствах обеспечения безопасности с открытым исходным кодом.

Идя шаг вперед, существует теперь специализированная веб-страница безопасности Докера, которая детализирует процесс отчетности безопасности для тех, кто хочет сделать ответственное раскрытие уязвимостей.В целом, со сравнительным тестом CIS, введением в контейнерный обеспечительный документ и специализированную страницу безопасности, Докер теперь перемещается в новую фазу зрелости, где строгий процесс и средства управления могут использоваться для обеспечения безопасности.

Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.

8 комментариев

  1. У АШОТА?

  2. да и пусть себе пишит…

  3. Суннитов 1,5 миллиарда. И это теперь враги России.

  4. Позор Расии . Позор… Турки, на глазах у всего мира, отымели Рашку. А в ответ лишь ссыкливые санкции. Позор. Не страна а медвытрезвитель.

  5. Позор Расии . Позор… Турки, на глазах у всего мира, отымели Рашку. А в ответ лишь ссыкливые санкции. Позор. Не страна а медвытрезвитель.

  6. Не заменимых НЕТ!!!

  7. Русское б.ы.д.л.о

  8. Не думаю, что после сегодняшней программы савика шустера он рискнет.

Комментарии закрыты.