1. Контейнеры Docker и системы оркестрации Kubernetes стали стандартом для разработки и развертывания приложений. Контейнеры – это легковесные, автономные пакеты, которые включают в себя все необходимое для запуска приложения. Docker – это платформа для автоматизации развертывания приложений в контейнерах. Kubernetes – система оркестрации контейнеров, которая упрощает управление контейнеризированными приложениями. Преимущества контейнеров: изоляция, портативность, эффективность использования ресурсов, скорость развертывания.
2. Большинство IT компаний используют контейнеры для развертывания инфраструктуры своих продуктов. Однако, 87% контейнеров в продакшн имеют высокие и критические уязвимости. Только 15% уязвимостей обнаруживаются в runtime. В разработке часто используются сторонние библиотеки, их безопасность вызывает вопросы.
3. Татьяна Хуртина – программист в группе внутренней автоматизации ИБ VK. Она выступала на киберфестивале PHDays с докладом о мониторинге безопасности контейнеров в inhouse облаке Дзена. В Дзене используется нестандартная инфраструктура с тысячами контейнеров и уникальными образами. Реализована система мониторинга безопасности контейнеров, встраиваемая в модель DevSecOps. Используются сканеры безопасности Trivy и Dependency Track. Для хранения информации о зависимостях используется формат CycloneDX. Процесс сканирования образов и анализа уязвимостей осуществляется периодически.
4. Лучшие практики для безопасности контейнеров: использование минимальных базовых образов, обновление образов и устранение уязвимостей, ограничение прав доступа, изоляция контейнеров, сканы безопасности, безопасные сетевые настройки, логирование и мониторинг, управление секретами, контроль доступа, образование и обучение.
Безопасность контейнеров: вызовы и решенияThank you for reading this post, don't forget to subscribe!
В мире современных технологий контейнеры Docker и системы оркестрации Kubernetes стали неотъемлемой частью разработки и развертывания приложений. Эти легковесные, автономные пакеты включают в себя все необходимое для запуска приложений, обеспечивая изоляцию, портативность, эффективность использования ресурсов и скорость развертывания. Однако, с ростом популярности использования контейнеров возникают вопросы безопасности. Согласно исследованиям, 87% контейнеров в продакшн имеют высокие и критические уязвимости, из которых только 15% обнаруживаются в runtime. Это вызывает серьезные опасения, особенно с учетом использования сторонних библиотек в разработке.
Однако, существуют успешные практики для обеспечения безопасности контейнеров. Программист Татьяна Хуртина из группы внутренней автоматизации ИБ VK выступила на киберфестивале PHDays с докладом о мониторинге безопасности контейнеров в inhouse облаке Дзена. В Дзене, где используется нестандартная инфраструктура с тысячами контейнеров и уникальными образами, реализована система мониторинга безопасности контейнеров, встраиваемая в модель DevSecOps. Для этого используются сканеры безопасности Trivy и Dependency Track, а также формат CycloneDX для хранения информации о зависимостях. Процесс сканирования образов и анализа уязвимостей осуществляется периодически, что позволяет своевременно выявлять и устранять потенциальные угрозы.
В целом, лучшие практики для обеспечения безопасности контейнеров включают использование минимальных базовых образов, регулярное обновление образов и устранение уязвимостей, ограничение прав доступа, изоляцию контейнеров, сканы безопасности, безопасные сетевые настройки, логирование и мониторинг, управление секретами, контроль доступа, а также образование и обучение. Эти меры помогают минимизировать риски и обеспечивают безопасное функционирование контейнеров в современной IT-инфраструктуре.