登录/注册 账户

安全

集装箱安全

什么是集装箱安全?

集装箱安全是对集装箱完整性的保护。这包括从他们持有的应用程序到他们依赖的基础设施的一切。容器安全需要集成和连续。总体而言,企业的连续容器安全主要包括:

  • 保护容器管道和应用程序
  • 保护容器部署环境和基础设施
  • 与企业安全工具集成,满足或增强现有的安全策略

容器之所以流行,是因为它们使得在应用程序或服务的整个生命周期以及跨不同环境和部署目标构建、打包和提升应用程序或服务及其所有依赖项变得容易。但集装箱安全仍存在一些挑战。静态安全策略和检查列表不适用于企业中的容器。供应链需要更多的安全策略服务。团队需要平衡容器的网络和治理需求。构建和运行时工具和服务需要解耦。

沿着有锁保护的管道的容器的图形图像

通过在容器管道中构建安全性并保护基础设施,可以确保容器是可靠的、可伸缩的和可信的。通过这个网络研讨会系列,您可以从专家的角度了解整个容器应用程序堆栈和生命周期的安全性。


在容器管道中构建安全性

收集的图片

容器是由文件层创建的。容器社区通常称这些文件为“容器的图片基于安全目的,基础映像是最重要的,因为它被用作创建派生映像的起点。容器安全性从为基本映像查找可信源开始。但是,即使在使用可信映像时,添加应用程序和更改配置也会引入新的变量。当引入外部内容来构建应用程序时,你需要考虑积极主动的内容管理。

当收集容器图像时,问:

  • 容器映像是否已签名并来自可信来源?

  • 运行时和操作系统层是最新的吗?

  • 容器更新的速度和频率有多快?

  • 确定了已知的问题吗?如何跟踪它们?

管理访问

获得映像之后,下一步是管理对团队使用的所有容器映像的访问和推广。这意味着既要保护您下载的映像,也要保护您构建的映像。使用私有注册表将允许您通过基于角色的分配来控制访问,同时还通过向容器分配元数据来帮助您管理内容。元数据将提供识别和跟踪已知漏洞等信息。私有注册中心还为存储的容器映像提供自动化和分配策略的功能,从而最大限度地减少可能给容器带来漏洞的人为错误。

当决定如何管理访问时,问:

  • 可以使用哪些基于角色的访问控制来管理容器映像?

  • 是否有标签功能,以帮助分类图片?你能将图片标记为仅用于开发、测试和生产的经过批准的标签吗?

  • 注册中心是否提供了可见的元数据,使您能够跟踪已知的漏洞?

  • 你可以使用注册表来分配和自动化策略(例如检查签名,代码扫描等)吗?

集成安全性测试和自动化部署

管道的最后一步是部署。一旦你完成你的构建,你需要根据行业标准对它们进行管理。这里的关键是要了解如何检举构建安全问题,尤其是当新的安全漏洞被发现的自动化策略。因为修补容器是从来没有作为一个解决方案,重建他们,集成安全性测试应该考虑到政策,触发自动重建的好。运行在成分分析工具,可以跟踪和标志的问题是这一步的第一部分。第二部分是自动化的,基于策略的部署建立工具。

当集成安全性测试和自动化部署时,问:

  • 如何防止对正在运行的容器进行补丁,而使用触发器重新构建并使用自动更新替换容器?


捍卫你的基础设施

容器安全性的另一层是由主机操作系统(OS)提供的隔离。您需要一个主机OS来提供最大限度的容器隔离。这是保护容器部署环境的重要部分。主机操作系统是使用容器运行时启用的,理想情况下是通过编排系统管理的。要使容器平台具有弹性,请使用网络名称空间隔离应用程序和环境,并通过安全挂载连接存储。betway西汉姆联一个API管理解决方案应该包括身份验证和授权、LDAP集成、端点访问控制和速率限制。

当决定如何保护您的容器基础设施时,请询问:

  • 哪些容器需要相互访问?他们将如何发现彼此?

  • 如何控制共享资源(如网络和存储)的访问和管理?必威体育网页betway西汉姆联

  • 如何管理主机更新?是否所有的容器都需要同时更新?

  • 如何监视容器运行状况?

  • 如何自动扩展应用程序容量以满足需求?


我们可以帮助

redhat®OpenShift容器平台与redhat Enterprise Linux®。它自动化了容器应用程序的生命周期,将安全性集成到容器管道中,并且在设计时考虑到了DevOps团队。我们的容器目录提供对大量经过认证的映像、语言运行时、数据库和中间件的访问,它们可以在运行Red Hat Enterprise Linux的任何地方运行。来自红帽的图像总是签名和验证,以确保来源和完整性。

Red Hat监视容器映像以发现新发现的漏洞(包括持续更新和公开可见的运行状况索引),并发布安全更新和容器重构,这些更新和重构被推到公共注册中心。

另外,所有这些其他的东西也很好:

  • web规模的容器编排和管理
  • 具有多用户协作特性的丰富web控制台
  • CLI和IDE接口
  • 构建自动化和源到映像
  • 与CI的集成
  • 自动化部署
  • 支持远程存储卷betway西汉姆联
  • 简化安装和管理
  • 支持的编程语言、框架和服务的大量集合

开始

云计算

OpenShift允许您在几乎所有的基础设施(公共的或私有的)中轻松、快速地构建、开发和部署。

Linux平台

Red Hat Enterprise Linux是一个稳定的、经过证明的基础,它在推出新应用、虚拟化环境和创建安全的混合云方面足够灵活,所有这些都得到了我们获奖的支持。


容器安全性还有很多工作要做