オープンソースの詳細については、以下をご覧ください。 51CTO オープンソース基本ソフトウェアコミュニティ https://ost..com 1. コンテナの構成1. 特権コンテナの使用を禁止する--privileged を使用してコンテナを起動すると、すべてのカーネル機能がコンテナに付与され、Capability の機能制限が上書きされます。この場合、コンテナはホスト層が実行できるほとんどの操作を実行できるため、システムのセキュリティ リスクが増大するため、禁止する必要があります。 $ docker run -d - - 特権nginx 2. コンテナリソースの使用を制限するデフォルトでは、ホスト上のコンテナはリソースに無制限にアクセスできます。このとき、コンテナが攻撃を受けたり、プログラムエラーが発生したりすると、過剰なリソース占有によりホストや他のコンテナの動作に影響を及ぼす可能性があります。 そのため、Cgroup の特性を通じてコンテナのリソース使用制限を設定することで、このような問題による影響を最小限に抑えることができます。 例 1: 使用できる CPU コアの最大数を 1 に制限します。 $ docker run -d - - cpus 1 nginx 例 2: コンテナが特定の CPU を使用するように制限します。たとえば、ホストに 4 つの CPU がある場合、コンテナは最初の CPU のみを使用できます。次のように設定できます。 $ docker run -d - -cpuset -cpus 0 nginx 例 3: コンテナの最大メモリ使用量を 512M に制限します。 $ docker run -d -m 512 m nginx 3. コンテナネットワークを分離するDocker はデフォルトでブリッジ ネットワークを使用し、仮想ブリッジを作成します。同じブリッジに接続されたコンテナは相互にアクセスできます。ネットワーク セキュリティを強化するには、デフォルトの docker0 ネットワークに依存せず、カスタム ネットワークを介してコンテナー ネットワークを分割することをお勧めします。これにより、ホスト マシン内のコンテナー間のアクセス分離を確保できます。 さらに、ネットワークのセグメンテーションは可能な限りホスト レベルで実行する必要があります。異なるホストでは、セキュリティ要件が異なるコンテナを実行する必要があります。たとえば、開発環境、テスト環境、本番環境のホストは互いに分離する必要があります。 4. ホストシステムディレクトリをマウントしない/boot、/dev、/etc、/proc、/sys、/usr など、ホスト上のシステム関連ディレクトリは、コンテナーへのマウントを明示的に禁止する必要があります。特に読み取り/書き込みモードでは、この状況によりコンテナがホスト システムを変更できるようになるため、ホスト システムに重大なセキュリティ リスクが生じます。 残念ながら、現在、このような動作を制限するための Docker レベルの適切な技術的ソリューションは存在せず、監査などの手段を通じてのみ検出できます。 5. コンテナのルートファイルシステムを読み取り専用としてマウントするコンテナのルート ファイル システムを読み取り専用モードでマウントします。このモードでは、ルート ファイル システムへの変更が回避されるため、コンテナーのセキュリティが確保されます。もちろん、読み取り専用モードも不便を伴い、出力コンテンツを永続ストレージに書き込むには、マウントされたストレージと組み合わせて使用する必要があります。 読み取り専用を設定する方法は非常に簡単です。次のように、コンテナを起動するときに --read only オプションを追加します。 $ docker run -it - - 読み取り専用nginx sh 6. ホストのネットワークスタックの共有を禁止するコンテナを起動するときに、--network host を使用して、コンテナがホストとネットワーク スタックを共有できるようにします。このとき、コンテナはホストの IP とその他のネットワーク構成を使用し、コンテナのポートをホストに自動的にマップします。 この方法は一定の利便性をもたらしますが、コンテナにリスクももたらします。このモードでは、ホストのネットワーク スタックをコンテナー内で操作できるため、推奨されません。 $ docker run -d - - ネットワークホストnginx 2. 画像管理1. 画像に機密情報を保存しないコンテナ内のプログラムの通常の操作中は、通常、データベース アカウントのパスワード、アクセス トークンなどの機密情報が必要になります。このような機密情報はイメージに保存しないでください。そうしないと、機密情報の漏洩のリスクが発生します。 構成センターなどのソリューションを使用して、この情報を管理のために外部の場所に移動できます。 2. 最小化されたベース画像を選択するDockerfile を使用してアプリケーション イメージを構築する場合は、ベース イメージとしてイメージを選択する必要があります。この画像を選択するときは、大きくて包括的な機能を持つ画像の使用を避け、最小限で満足のいくモードを採用する必要があります。 これには 2 つの利点があります: セキュリティの脆弱性を最小限に抑えます。 リソースの使用量を削減します。 3. 画像をスキャンして検証する2019年、セキュリティ企業Snykは、最も人気のある10個のDockerイメージのそれぞれに少なくとも30件のセキュリティ脆弱性があることを発見しました。これだけでも、画像のセキュリティについて注意を払うには十分です。 Docker イメージの脆弱性スキャンを実行することで、開発者や運用担当者はイメージのセキュリティ状態を把握し、見つかった問題を修正するための対策を講じることができ、より安全な展開を実現できます。 現在、イメージスキャンをサポートするオープンソースソリューションには、Docker scan、Clair、Anchore などがあります。Docker Scan は最新の Docker バージョンに統合されており、すぐに使用できます。 4. マルチステージビルドを使用する旧バージョンでは、イメージをビルドする操作は通常、Dockerfile プロセスで完了します。このモードでビルドされたイメージには、ソース コード ファイル、ダウンロードされた依存パッケージ、パッケージ化によって生成された一時ファイルなど、多くの冗長ファイルが含まれます。 この問題を解決するために、Docker はバージョン 17.05 でマルチステージ ビルドの使用をサポートするようになりました。このモードを使用してイメージを構築する場合、最初の段階でコードのパッケージ化やその他のワークフローを完了し、2 番目の段階で適切な実行イメージを選択し、前の段階で生成されたパッケージをイメージにコピーして構成および実行することができます。 多段階構造は、速度が速く、画像サイズが小さく、セキュリティが高いという特徴があります。イメージを構築するには、この方法を使用することをお勧めします。 例: #フェーズ1: コンパイルとパッケージ化 III.管理基準1. コンテナホストへのユーザーアクセスを制限するコンテナを実行するホストは、マシンのセキュリティを物理的に確保できる、IDC コンピュータ ルームなどの安全で信頼性の高い環境に保管する必要があります。同時に、システムのログイン権限を適切に管理し、信頼できるユーザーのみがログインしてホストにアクセスできるようにする必要があります。これにより、人為的影響による障害を減らすことができます。 2. Dockerのバージョンを定期的に更新する古いバージョンは、発見された脆弱性によりセキュリティ攻撃に対して脆弱です。新しいバージョンでは通常、古いバージョンのバグやプログラム エラーが修正されるため、コンテナのセキュリティがより確実に確保されます。コンテナ管理者は、Docker のバージョンを定期的に更新し、新しいバージョンを維持する必要があります。 3. コンテナ監視の改善監視を合理的かつ効果的に活用する方法は、コンテナ管理者にとって重要なタスクです。完全な監視システムは、リソース負荷の高騰やコンテナの終了など、コンテナの問題をタイムリーに検出するのに役立ちます。 コンテナ監視に関しては、現在一般的に使用されているソリューションには、監視、表示、アラームなどの一連の機能を統合し、コンテナの問題を効果的に検出できる cAdvisor + Prometheus + Grafana + Alertmanager の組み合わせが含まれます。 オープンソースの詳細については、以下をご覧ください。 51CTO オープンソース基本ソフトウェアコミュニティ https://ost..com. |
<<: アマゾン ウェブ サービスは、新たな 4 つの近代化を背景に、自動車業界のイノベーションを促進し続けています。
現在、6月中旬に始まった「百度地震」は、依然として大多数のウェブマスターとSEO担当者の注目を集めて...
調査によると、IT プロフェッショナルの約 80% が、クラウド プラットフォームへの移行によって生...
この記事を書く準備をするにあたって、まずは祈りを捧げましょう。マレーシア航空便が連絡不能になってから...
[[404840]] React でバーチャルリアリティ (VR) を体験してみませんか?これは本当...
周知のとおり、Baidu のアルゴリズムは絶えず変更され、微調整されています。毎年、多数のウェブサイ...
多くの企業は、ビジネス運営の効率、俊敏性、フォールト トレランスを向上させるために複数のクラウド プ...
Weibo は誕生以来、ユーザーの間でますます人気になっています。Weibo はブログから派生したも...
[[440154]]詳細については、以下をご覧ください。 51CTOとHuaweiが共同で構築したH...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています現在、多く...
VaiCDNは現在、全製品を対象に永久20%割引プロモーションを実施しています。香港のトップネットワ...
Google のウェブマスター ガイドには、検索エンジン最適化サービス (SEO) について説明する...
[伝統的な企業は電子商取引に参入する際に固有の利点を持っているが、逆に制度上の欠陥や個人の認識が伝統...
ウェブマスターネットワークが6月12日に伝えたところによると、HiChina、新浪微博、CNNICは...
10月11日から11月15日まで、hostdareは中国の11.11向けに用意されたVPS「Prem...
現在、企業ウェブサイトが選択するキーワードのほとんどは、業界で人気の言葉に関連しています。このキーワ...