🥇សុវត្ថិភាពសម្រាប់ធុង Docker

ចំណាំ។ បកប្រែ៖ ប្រធានបទនៃសុវត្ថិភាព Docker ប្រហែលជារឿងដ៏អស់កល្បមួយនៅក្នុងពិភពព័ត៌មានវិទ្យាទំនើប។ ដូច្នេះដោយគ្មានការពន្យល់បន្ថែម យើងបង្ហាញការបកប្រែនៃជម្រើសបន្ទាប់នៃអនុសាសន៍ពាក់ព័ន្ធ។ ប្រសិនបើអ្នកបានចាប់អារម្មណ៍លើបញ្ហានេះរួចហើយ ពួកគេជាច្រើននឹងស្គាល់អ្នក។ យើងបានបំពេញការប្រមូលដោយខ្លួនវាជាមួយនឹងបញ្ជីឧបករណ៍ប្រើប្រាស់មានប្រយោជន៍ និងធនធានជាច្រើនសម្រាប់ការសិក្សាបន្ថែមអំពីបញ្ហានេះ។

សុវត្ថិភាពសម្រាប់ធុង Docker

ខ្ញុំនាំមកជូនអ្នកនូវការណែនាំមួយដើម្បីធានាសុវត្ថិភាព Docker ។ មតិកែលម្អត្រូវបានស្វាគមន៍ ព្រោះនេះគឺជាការប្រមូលសម្រង់ច្រើនពីធនធានផ្សេងៗ ហើយមិនមែនសុទ្ធតែត្រូវបានពិនិត្យយ៉ាងហ្មត់ចត់នោះទេ។ អនុសាសន៍ត្រូវបានបែងចែកជាបីប្រភេទ៖

វិធានការចាំបាច់នៅក្នុងប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីននៅពេលធ្វើការជាមួយ Docker;
សេចក្តីណែនាំទាក់ទងនឹងឯកសារកំណត់រចនាសម្ព័ន្ធសាងសង់ និងការបង្កើតធុង;
ឧបករណ៍សុវត្ថិភាពដែលអាចរួមបញ្ចូលជាមួយមុខងារជាក់លាក់របស់ Docker Enterprise។

មគ្គុទ្ទេសក៍គឺផ្អែកលើធនធានផ្សេងៗគ្នា ដែលភាគច្រើនត្រូវបានរាយខាងក្រោម។ វាមិនទូលំទូលាយទេប៉ុន្តែវាគ្របដណ្តប់មូលដ្ឋានទាំងអស់។ ព័ត៌មានបន្ថែមអាចរកបាននៅក្នុងការពិពណ៌នាការធ្វើតេស្ត CIS (ភ្ជាប់នៅចុងបញ្ចប់នៃការណែនាំនេះ) ក៏ដូចជានៅក្នុងឯកសារ Docker ផងដែរ។

ស្តង់ដារសុវត្ថិភាព Docker

Docker Bench សម្រាប់សន្តិសុខ ពិនិត្យ Docker របស់អ្នកដោយស្វ័យប្រវត្តិប្រឆាំងនឹងការអនុវត្តល្អបំផុតទូទៅបំផុត។ ស្គ្រីបគឺជាការធ្វើតេស្តសុវត្ថិភាព heuristic ដ៏ល្អ ប៉ុន្តែវាមិនគួរត្រូវបានចាត់ទុកថាជាឧបករណ៍វិភាគដ៏ទូលំទូលាយនោះទេ។

ប្រព័ន្ធប្រតិបត្តិការ

ជាក់ស្តែង កុងតឺន័រ Docker មិនអាចមានសុវត្ថិភាពបានទេ លុះត្រាតែប្រព័ន្ធម៉ាស៊ីនខ្លួនវាមានសុវត្ថិភាព។ ដូច្នេះ ចាំបាច់ត្រូវអនុវត្តតាមការអនុវត្តល្អបំផុតក្នុងសុវត្ថិភាពប្រព័ន្ធប្រតិបត្តិការ។ លើសពីនេះ វាជាការល្អក្នុងការធ្វើការវិភាគភាពងាយរងគ្រោះ បន្ថែមពីលើអនុសាសន៍ខាងក្រោម។

ច្បាប់សវនកម្ម

បង្កើត និងប្រើប្រាស់ច្បាប់សវនកម្មសម្រាប់ឯកសារដែលទាក់ទងនឹង Docker ដោយប្រើ auditctl. ឧទាហរណ៍អ្នកអាចបន្ថែម -w /usr/bin/dockerd -k docker к /etc/audit.rules ហើយចាប់ផ្តើមសេវាកម្មសវនកម្មឡើងវិញ។

របៀប FIPS

ការបើករបៀប FIPS បង្ខំឱ្យឧបករណ៍គ្រីបគ្រីបប្តូរទៅក្បួនដោះស្រាយដែលបានរាយបញ្ជី FIPS (ជនជាតិអាមេរិក ស្តង់ដារដំណើរការព័ត៌មានសហព័ន្ធ - ប្រហែល បកប្រែ។ )ដូច្នេះការអនុលោមតាមបទប្បញ្ញត្តិ និងតម្រូវការរបស់សហព័ន្ធ និងឧស្សាហកម្ម។ ប្រសិនបើ host OS គាំទ្ររបៀប FIPS អ្នកអាចបើកវាដោយដំណើរការពាក្យបញ្ជាខាងក្រោម៖

sed -i 's/GRUB_CMDLINE_LINUX="/GRUB_CMDLINE_LINUX="fips=1 /g' /etc/default/grub
grub2-mkconfig -o /boot/grub2/grub.cfg && reboot

អ្នកក៏ត្រូវបើក FIPS នៅក្នុង Docker Engine៖

mkdir -p /etc/systemd/system/docker.service.d 2>&1; echo -e "[Service]n Environment="DOCKER_FIPS=1"" > /etc/systemd/system/docker.service.d/fips-module.conf; systemctl daemon-reload; systemctl restart docker

សម្រាប់ព័ត៌មានបន្ថែម សូមមើលឯកសារ Dockers и Red Hat.

អាថ៌កំបាំង Docker

ទិន្នន័យសម្ងាត់ត្រូវតែរក្សាទុកជាសម្ងាត់។ អ្នកអាចចាប់ផ្តើមសេវាកម្មដែលត្រូវគ្នាដោយប្រើសេវាកម្ម docker បង្កើតពាក្យបញ្ជា៖

docker service create --label com.docker.ucp.access.label=/prod --name nginx --publish 443 --secret source=orcabank_prod_mobile.ca.pem.v1,target=ca.pem nginx

សម្រាប់ព័ត៌មានលម្អិតសូមមើល ឯកសារ.

ឯកសារកំណត់រចនាសម្ព័ន្ធ Docker

ការកំណត់ខាងក្រោមអាចត្រូវបានបន្ថែមទៅឯកសារកំណត់រចនាសម្ព័ន្ធ /etc/docker/daemon.json:

"icc":false - បិទការផ្លាស់ប្តូរទិន្នន័យរវាងកុងតឺន័រ ដើម្បីជៀសវាងការលេចធ្លាយព័ត៌មានដែលមិនចាំបាច់។
log-level: "info" - ចាប់យកកំណត់ហេតុទាំងអស់ លើកលែងតែការបំបាត់កំហុស។
```
{
  "log-driver": "syslog",
  "log-opts": {
    "syslog-address": "udp://1.2.3.4:1111"
  }
}
```
- បើកការកត់ត្រាពីចម្ងាយ និងបញ្ជូនពួកគេទៅកាន់អាសយដ្ឋានដែលបានបញ្ជាក់។ ដំណើរការបានលុះត្រាតែដេមិន syslog កំពុងដំណើរការ។ TCP និង UDP ត្រូវបានទទួលយកជាជម្រើស។ វាក៏អាចធ្វើទៅបានដើម្បីភ្ជាប់សម្រាប់ធុងជាក់លាក់នីមួយៗ។ ចំពោះគោលបំណងនេះ ទង់ពិសេសមួយត្រូវបានកំណត់នៅពេលដែល Docker ត្រូវបានបើកដំណើរការ (--log-opt syslog-address=ADDRESS).
"userns-remap": "Your_User" - ការពារការកើនឡើងនៃសិទ្ធិដោយញែកចន្លោះឈ្មោះសម្រាប់អ្នកប្រើប្រាស់ជាក់លាក់។

សុវត្ថិភាពស្រទាប់ដឹកជញ្ជូន

មានតែអ្នកប្រើដែលមានសិទ្ធិចូលប្រើប្រាស់ព័ត៌មានបញ្ជាក់អត្តសញ្ញាណម៉ាស៊ីនភ្ញៀវ TLS ប៉ុណ្ណោះដែលគួរតែអាចភ្ជាប់ទៅដេមិន Docker (ប្រសិនបើតម្រូវឱ្យមានការចូលប្រើប្រាស់ពីចម្ងាយ)។

កម្មវិធីជំនួយការអនុញ្ញាត

សម្រេចចិត្តថាតើអ្នកប្រើប្រាស់ណាខ្លះត្រូវបានអនុញ្ញាតឱ្យប្រតិបត្តិពាក្យបញ្ជាណាមួយ ហើយបង្កើតកម្មវិធីជំនួយការអនុញ្ញាតសមរម្យសម្រាប់ Docker ។ បន្ទាប់មកចាប់ផ្តើមដេមិន Docker ហើយបន្ថែមកម្មវិធីជំនួយទៅវា៖

dockerd --authorization-plugin=PLUGIN_ID

ដើម្បីស្វែងយល់បន្ថែមអំពីការបង្កើតកម្មវិធីជំនួយការអនុញ្ញាត សូមមើល ឯកសារ.

ជម្រើស Daemon

ដេមិន Docker ដំណើរការជាមួយសំណុំប៉ារ៉ាម៉ែត្រលំនាំដើម។

--live-restore - ប៉ារ៉ាម៉ែត្រនេះជួយកាត់បន្ថយការផ្អាកកុងតឺន័រ នៅពេលដែលប្រព័ន្ធត្រូវបានបិទ ឬចាប់ផ្តើមឡើងវិញ។ វាកាន់តែងាយស្រួលក្នុងការជួសជុល ឬអាប់ដេតពួកវាជាមួយនឹងពេលវេលារងចាំតិចតួចបំផុត។
--userland-proxy=false — នៅពេលដែល hairpin NATs អាចប្រើបាន ឬប្រើប្រាស់ ប្រូកស៊ីក្នុងចន្លោះអ្នកប្រើប្រាស់នឹងក្លាយទៅជាសេវាកម្មដែលលែងត្រូវការតទៅទៀត ដែលគ្រាន់តែបង្កើនចំនួនវ៉ិចទ័រវាយប្រហារដែលអាចកើតមាន។
--no-new-privileges - រារាំងកុងតឺន័រពីការទទួលបានសិទ្ធិបន្ថែមដោយប្រើ suid ឬ sguid;
--seccomp-profile /path/to/profile - ប្រសិនបើអ្នកមានទម្រង់ seccomp ផ្ទាល់ខ្លួនរបស់អ្នក អ្នកអាចអនុវត្តវាដោយប្រើទង់នេះ។ អ្នកអាចស្វែងយល់បន្ថែមអំពី Seccomp និង Docker នៅទីនេះ.

កុងតឺន័រ និងបង្កើតការកំណត់រចនាសម្ព័ន្ធឯកសារ

ការបង្កើតអ្នកប្រើប្រាស់

ត្រូវប្រាកដថាអ្នកប្រើប្រាស់ត្រូវបានបង្កើតសម្រាប់កុងតឺន័រ ហើយដំណើរការវានៅក្រោមអ្នកប្រើប្រាស់នោះ (កុំដំណើរការកុងតឺន័រជា root)។

ការចូលប្រើពីចម្ងាយ

បិទការចូលប្រើពីចម្ងាយទៅកាន់ដេមិន។ ប្រសិនបើអ្នកនៅតែត្រូវការវា ការពារវាដោយវិញ្ញាបនបត្រ។

ញែកចន្លោះឈ្មោះអ្នកប្រើប្រាស់

វាមានសារៈសំខាន់ជាពិសេសក្នុងការធានាថា ចន្លោះឈ្មោះអ្នកប្រើប្រាស់នៅក្នុង Docker គឺដាច់ពីគេ ដោយសារតាមលំនាំដើម វាត្រូវបានចែករំលែកជាមួយ host namespace ។ ក្នុងករណីខ្លះ វាអាចត្រូវបានប្រើដើម្បីបង្កើនសិទ្ធិ ឬសូម្បីតែរត់គេចខ្លួននៅក្រៅកុងតឺន័រ។ អ្នកអាចញែកចន្លោះឈ្មោះអ្នកប្រើប្រាស់ដោយកែសម្រួលឯកសារកំណត់រចនាសម្ព័ន្ធ (ដូចដែលបានពិពណ៌នាខាងលើនៅក្នុងផ្នែកឯកសារកំណត់រចនាសម្ព័ន្ធ Docker) ។ ការលើកឡើងបន្ថែមអំពីបញ្ហានេះនៅទីនេះគឺដោយសារតែសារៈសំខាន់របស់វា។

ត្រួតពិនិត្យសុខភាព

ការពិនិត្យសុខភាពគឺជាឧបករណ៍ដ៏មានឥទ្ធិពលដែលអនុញ្ញាតឱ្យអ្នកត្រួតពិនិត្យភាពត្រឹមត្រូវនៃធុង។ វាត្រូវបានតំឡើងនៅក្នុង Dockerfile ដោយប្រើការណែនាំ HEALTHCHECK. ការពិនិត្យសុខភាពអនុញ្ញាតឱ្យអ្នកប្រាកដថាធុងផ្ទុកដំណើរការត្រឹមត្រូវ។ ក្នុងឧទាហរណ៍ខាងក្រោម ការពិនិត្យសុខភាពត្រឡប់ 0 ប្រសិនបើម៉ាស៊ីនមេកំពុងដំណើរការ និង 1 ប្រសិនបើវាធ្លាក់ចុះ៖

HEALTHCHECK CMD curl --fail http://localhost || exit 1

SELinux

ប្រសិនបើ SELinux គាំទ្រដោយប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីន បង្កើត ឬនាំចូលគោលការណ៍ SELinux ហើយដំណើរការ Docker ក្នុងរបៀប daemon ជាមួយ SE ដែលបានបើកដំណើរការLinux:

docker daemon --selinux-enable

ក្នុងករណីនេះ កុងតឺន័រ Docker អាចត្រូវបានបើកដំណើរការជាមួយការកំណត់សុវត្ថិភាព ឧទាហរណ៍៖

docker run --interactive --tty --security-opt label=level:TopSecret centos /bin/bash

ចំណុចប្រទាក់បណ្តាញ។

តាមលំនាំដើម Docker ស្តាប់ចំណុចប្រទាក់បណ្តាញទាំងអស់។ ដោយសារក្នុងករណីភាគច្រើន ចរាចរណ៍ត្រូវបានរំពឹងទុកតែមួយក្នុងចំណោមពួកវា វិធីសាស្រ្តនេះបង្កើនហានិភ័យនៃការវាយប្រហារដោយមិនចាំបាច់។ ដូច្នេះ នៅពេលចាប់ផ្តើមកុងតឺន័រ អ្នកអាចភ្ជាប់ច្រករបស់វាទៅនឹងចំណុចប្រទាក់ជាក់លាក់នៅលើម៉ាស៊ីន៖

docker run --detach --publish 10.2.3.4:49153:80 nginx

កំណែក្នុងឃ្លាំងសម្ងាត់នៃរូបភាព

នៅពេលទាញយករូបភាព ត្រូវប្រាកដថាឃ្លាំងសម្ងាត់មូលដ្ឋានត្រូវគ្នានឹងមាតិកានៃឃ្លាំង។ បើមិនដូច្នោះទេ អ្នកអាចនឹងបញ្ចប់ជាមួយនឹងកំណែហួសសម័យនៃរូបភាព ឬរូបភាពដែលមានភាពងាយរងគ្រោះ។

ស្ពានបណ្តាញ

គំរូបណ្តាញលំនាំដើម docker0ងាយរងការវាយប្រហារដូចជា ARP-spoofing និង MAC-flooding ។ ដើម្បីដោះស្រាយបញ្ហានេះ សូមបង្កើតស្ពានបណ្តាញមួយតាមលក្ខណៈជាក់លាក់របស់អ្នក ដូចដែលបានពិពណ៌នា នៅទីនេះ.

ការព្រមានរន្ធ Docker

កុំបញ្ជូនរន្ធ Docker ទៅក្នុងកុងតឺន័រ។ បើមិនដូច្នោះទេ កុងតឺន័រនឹងអាចប្រតិបត្តិពាក្យបញ្ជា Docker ហើយដូច្នេះទំនាក់ទំនងជាមួយ និងគ្រប់គ្រងប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីន។ កុំធ្វើដូច្នោះ។

ការកំណត់រចនាសម្ព័ន្ធសហគ្រាស Docker

Docker Trust

Docker Trust អនុញ្ញាតឱ្យអ្នកបង្កើតសោដែលអាចត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃការគ្រីបរូបភាព។ គ្រាប់ចុច Docker Trust អាចត្រូវបានប្រើដើម្បីចុះហត្ថលេខាលើរូបភាព Docker ជាមួយនឹងសោឯកជន ដែលត្រូវបានផ្ទៀងផ្ទាត់ដោយសោសាធារណៈនៅលើម៉ាស៊ីនមេសារការី។ ព័ត៍មានបន្ថែម - នៅទីនេះ. ការបើកដំណើរការ Docker Trust នៅក្នុង Enterprise Engine ត្រូវបានរៀបរាប់លម្អិតនៅក្នុង ផ្នែកនៃឯកសារនេះ។.

ការស្កេនភាពងាយរងគ្រោះ

Docker Enterprise មានម៉ាស៊ីនស្កេនភាពងាយរងគ្រោះដែលភ្ជាប់មកជាមួយដែលអនុញ្ញាតឱ្យអ្នកទាញយកមូលដ្ឋានទិន្នន័យ CVE សម្រាប់ការស្កេនក្រៅបណ្តាញនៃភាពងាយរងគ្រោះនៅក្នុងរូបភាព។ ការស្កែនរូបភាពជាទៀងទាត់ជួយធ្វើឱ្យពួកវាកាន់តែមានសុវត្ថិភាព៖ អ្នកប្រើប្រាស់ទទួលបានការព្រមានភ្លាមៗអំពីភាពងាយរងគ្រោះដែលបានរកឃើញ។ សម្រាប់ព័ត៌មានបន្ថែមអំពីរបៀបដែលវាអាចធ្វើបាន សូមមើល នៅទីនេះ.

ចំណាំ។ បកប្រែ៖ វាក៏មានម៉ាស៊ីនស្កេនប្រភពបើកចំហសម្រាប់ភាពងាយរងគ្រោះនៅក្នុងរូបភាព Docker ដែលជាឧទាហរណ៍ដែលអាចត្រូវបានរកឃើញនៅចុងបញ្ចប់នៃសម្ភារៈ។

ការរួមបញ្ចូល LDAP និង UCP

Universal Control Plane អាចត្រូវបានរួមបញ្ចូលជាមួយ LDAP ។ លទ្ធផលនឹងជាប្រព័ន្ធផ្ទៀងផ្ទាត់ភាពសាមញ្ញដែលជៀសវាងការចម្លងដែលមិនចាំបាច់។ អ្នកអាចអានបន្ថែមអំពីរឿងនេះនៅក្នុងអត្ថបទ រួមបញ្ចូលជាមួយថត LDAP.

សម្ភារៈផ្សេងទៀត

ព័ត៌មានបន្ថែមអំពីការអនុវត្តល្អបំផុតសុវត្ថិភាព Docker អាចរកបាននៅ docs.docker.com. យើងក៏ណែនាំអោយទាញយកផងដែរ។ មជ្ឈមណ្ឌលសម្រាប់ការធ្វើតេស្តសុវត្ថិភាពអ៊ីនធឺណិតសម្រាប់ Docker.

ប្រាក់រង្វាន់អ្នកបកប្រែ

ជាការបន្ថែមឡូជីខលទៅអត្ថបទនេះ យើងបោះពុម្ពបញ្ជីនៃ ឧបករណ៍ប្រើប្រាស់ប្រភពបើកចំហពេញនិយមចំនួន 10 សម្រាប់ Docker Security. វាត្រូវបានខ្ចីពី អត្ថបទមួយទៀត (ដោយ Bill Doerrfeld នៃ Doerrfeld.io) ។

NB៖ សូមអានបន្ថែមអំពីគម្រោងជាច្រើនដែលបានលើកឡើងនៅទីនេះក្នុងអត្ថបទ “ឧបករណ៍សុវត្ថិភាព Kubernetes 33+"។

Docker Bench សម្រាប់សន្តិសុខ គឺជាស្គ្រីបដែលបានលើកឡើងរួចហើយនៅដើមអត្ថបទដែលត្រួតពិនិត្យ Docker containers សម្រាប់ការអនុលោមតាមការអនុវត្តសុវត្ថិភាពទូទៅ។
លោកស្រី Clair — ប្រហែលជាឧបករណ៍ប្រើប្រាស់ដ៏ពេញនិយមបំផុតសម្រាប់ការវិភាគឋិតិវន្តនៃភាពងាយរងគ្រោះនៅក្នុងកុងតឺន័រ។ វាប្រើមូលដ្ឋានទិន្នន័យភាពងាយរងគ្រោះ CVE ជាច្រើន (រួមទាំងឧបករណ៍តាមដាននៃ Linux- ការចែកចាយដូចជា Red Hat, Debian, Ubuntuវាផ្តល់ជូននូវ API សម្រាប់អ្នកអភិវឌ្ឍន៍ និងការពង្រីកមុខងារងាយស្រួល (ដោយបន្ថែម "កម្មវិធីបញ្ជា")។ វាត្រូវបានប្រើនៅក្នុងបញ្ជីរូបភាពកុងតឺន័រសាធារណៈដ៏ពេញនិយម (ស្រដៀងនឹង Docker Hub) — Quay.io។
ស៊ីលីញ៉ូម គឺជាដំណោះស្រាយសម្រាប់ការធានាសុវត្ថិភាពបណ្តាញនៅកម្រិតខឺណែល ដោយផ្អែកលើបច្ចេកវិទ្យាតម្រងកញ្ចប់ព័ត៌មានបណ្តាញ BPF ។
យុថ្កា - ឧបករណ៍ប្រើប្រាស់សម្រាប់វិភាគមាតិកានៃរូបភាពសម្រាប់វត្តមាននៃភាពងាយរងគ្រោះសុវត្ថិភាពដោយផ្អែកលើ CVE ។ លើសពីនេះទៀត វាអនុញ្ញាតឱ្យអ្នកអនុវត្តគោលការណ៍ផ្ទាល់ខ្លួន (ផ្អែកលើទិន្នន័យផ្សេងៗរួមទាំងបញ្ជីស/ខ្មៅ មាតិកាឯកសារ។ល។) ដើម្បីវាយតម្លៃសុវត្ថិភាពនៃធុង។
OpenSCAP Workbench - ប្រព័ន្ធអេកូទាំងមូលសម្រាប់បង្កើត និងរក្សាគោលនយោបាយសន្តិសុខនៅលើវេទិកាផ្សេងៗ។ ផ្តល់ឧបករណ៍ប្រើប្រាស់ដើម្បីត្រួតពិនិត្យធុង oscap-docker.
ដ៉ាដា - ឧបករណ៍ប្រើប្រាស់សម្រាប់ស្កេន Docker containers សម្រាប់ភាពងាយរងគ្រោះ មេរោគ Trojan និង malware ។ មូលដ្ឋានទិន្នន័យ CVE រួមមានការត្រួតពិនិត្យភាពអាស្រ័យពី OWASP មូលដ្ឋានទិន្នន័យ Red Hat Oval និងឃ្លាំងទិន្នន័យ Exploit Database ។
សារការី។ គឺជាក្របខ័ណ្ឌសម្រាប់ការចុះហត្ថលេខាលើរូបភាព Docker ដែលត្រូវបានបង្កើតឡើងដំបូងនៅ Docker Inc (ហើយបន្ទាប់មកផ្ទេរសម្រាប់ការអភិវឌ្ឍន៍ទៅ CNCF) ។ ការប្រើប្រាស់របស់វាអនុញ្ញាតឱ្យអ្នកផ្ទេរតួនាទី និងចែកចាយទំនួលខុសត្រូវក្នុងចំណោមកុងតឺន័រ ក៏ដូចជាផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃការគ្រីបរូបភាព។
ក្រាហ្វ - API សម្រាប់ទិន្នន័យមេតា ដែលត្រូវបានរចនាឡើងដើម្បីគ្រប់គ្រងគោលនយោបាយសន្តិសុខផ្ទៃក្នុង។ ជាឧទាហរណ៍ វាអនុញ្ញាតឱ្យអ្នកធ្វើឱ្យប្រសើរឡើងនូវដំណើរការនៃម៉ាស៊ីនស្កេនសុវត្ថិភាពកុងតឺន័រ។ Shopify ប្រើ API នេះដើម្បីគ្រប់គ្រងទិន្នន័យមេតានៅលើរូបភាព 500 របស់វា។
Sysdig Falco — ឧបករណ៍ប្រើប្រាស់ Kubernetes ដែលតាមដានឥរិយាបថប្រព័ន្ធ៖ សកម្មភាពនៅក្នុងកុងតឺន័រ នៅលើម៉ាស៊ីនមេ និងនៅលើបណ្តាញ។ វាអនុញ្ញាតឱ្យអ្នកកំណត់រចនាសម្ព័ន្ធការត្រួតពិនិត្យហេដ្ឋារចនាសម្ព័ន្ធជាបន្តបន្ទាប់ ការរកឃើញភាពមិនប្រក្រតី និងការជូនដំណឹងសម្រាប់ការហៅប្រព័ន្ធណាមួយ។ Linux.
អ្នកប្រមូល Banyanops - ឧបករណ៍មួយផ្សេងទៀតសម្រាប់ការវិភាគឋិតិវន្តនៃរូបភាពធុង Docker ។ អនុញ្ញាតឱ្យអ្នក "មើល" ឯកសាររូបភាព ប្រមូលទិន្នន័យចាំបាច់ អនុវត្តគោលការណ៍ចាំបាច់។ល។

ការប្រមូលល្អមួយទៀតនៃអនុសាសន៍ជាក់ស្តែង អំពីរបៀបធ្វើឱ្យ Docker កាន់តែមានសុវត្ថិភាពអាចរកបាននៅក្នុង អត្ថបទនេះ ក្រុមហ៊ុនសន្តិសុខ Aqua ។ គន្លឹះជាច្រើនរបស់នាងត្រួតលើគ្នាជាមួយនឹងអ្វីដែលបានរៀបរាប់ខាងលើរួចហើយ ប៉ុន្តែមានខ្លះទៀត។ ជាឧទាហរណ៍ អ្នកនិពន្ធស្នើឱ្យរៀបចំការត្រួតពិនិត្យសកម្មភាពនៅក្នុងកុងតឺន័រ និងបង្ហាញពីអ្វីដែលត្រូវយកចិត្តទុកដាក់នៅពេលប្រើ Docker Swarm ។

សម្រាប់អ្នកដែលចង់ចូលទៅក្នុងប្រធានបទនេះឱ្យកាន់តែលម្អិត វាត្រូវបានបោះពុម្ពកាលពីឆ្នាំមុន។ សៀវភៅ "Docker Security៖ ឯកសារយោងរហ័ស»បំណែកដែលអាចរកបានដោយសេរី នៅទីនេះ.

ជាចុងក្រោយ សម្រាប់ការណែនាំជាក់ស្តែងអំពីទិដ្ឋភាពមួយចំនួននៃសុវត្ថិភាព Docker៖ ទម្រង់ Seccomp និងការប្រើប្រាស់សមត្ថភាព Linux-ស្នូលនៅក្នុងកុងតឺន័រ - អ្នកអាចឆ្លងកាត់ដែលត្រូវគ្នា ការងារមន្ទីរពិសោធន៍ ធនធាន លេងជាមួយ Docker* - សូមមើលផ្នែក "សុវត្ថិភាព" ។

សុវត្ថិភាពសម្រាប់ធុង Docker

* អំពីធនធាននេះខ្លួនយើង បានប្រាប់ កាលពីពីរឆ្នាំមុន ហើយនៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2018 រឿងដ៏គួរឱ្យចាប់អារម្មណ៍មួយ (តាមទស្សនៈសន្តិសុខ) បានកើតឡើងចំពោះគាត់។ សរុបមក អ្នកឯកទេសមកពី CyberArk Software Ltd. គ្រប់គ្រងការ hack វា៖ ដើម្បីសម្រេចបាននូវសមត្ថភាពក្នុងការប្រតិបត្តិពាក្យបញ្ជានៅខាងក្រៅកុងតឺន័រ ពោលគឺឧ។ នៅលើប្រព័ន្ធម៉ាស៊ីន។ រូបភាពដ៏ល្អឥតខ្ចោះនៃបញ្ហាសុវត្ថិភាពនៅក្នុង Docker មែនទេ? សូមអានអំពីព័ត៌មានលម្អិតទាំងអស់នៃអ្វីដែលបានកើតឡើង នៅទីនេះ.