GSS 技術部落格
在這個園地裡我們將從技術、專案管理、客戶對談面和大家分享我們多年的經驗,希望大家不管是喜歡或是有意見,都可以回饋給我們,讓我們有機會和大家對話並一起成長!
若有任何問題請來信:gss_crm@gss.com.tw
從這篇開始的幾篇都會著重在如何加強防護,
但多半會是
概念性
的方向,實作可能還是要各位自行思考 …
畢竟資安是個不小的議題,筆者也並非專家,
但官方有不少資訊可以參考
-
多重防護
- 讓 Docker 跑在 VM 中,這樣即使 Container 被破了,還有 VM 的防護機制。
- VM 或 Host 上要有監控機制,觀察不正常的現象,比方說突然爆增的網路流量。
- VM 或 Host 上要有防火牆/防毒,並時常注意更新,雖然找洞鑽比把所有的洞都堵住還簡單,但有開有保庇。
- 如果你有不同群的客戶,或是公司內部區分不同事業群,也盡量讓彼此的 Docker 跑在不同的 VM 甚至是實體機器上,這樣 container 被破解時,才能將受害的範圍縮到最小。
-
最小權限
- 所有的 process 或 container 都應盡可能只賦與最小的權限,就算 container 被攻破了,Cracker 也沒法用那權限造成太大的傷害。
- 確認 container 並非用 root 執行
- 將 Container 的 Filesystem 設為唯讀,這樣就不會被寫入有害的程式。
- 降低 container 呼叫 kernel 的次數
- 限制 container 可使用的 CPU/Memory
-
更新!
- 檢視所有你用到的 base image,以及其相依的 image。
- 下載最新版,並 push 到自建的 private registry。
- 針對有定義 Dockerfile 的服務,都重新 docker build 並加上 –no-cache 的提示。
- 針對所有有安裝 Docker 的虛擬或實體機的每一個 image 下 docker pull 以取得最新版。
- 以最新版的 image 重啟一個新的 container。
- 當確認新版的 image 都正常運作後,把舊版的 image 都移除,這包含在 registry 中的 image。
- 更新 Docker Engine 本身。
-
避免用到不再支援的驅動
- Docker 已經過許多代的改版,特別留意別再用舊的 LXC 驅動,檢查一下 Docker Daemon 沒有 -e lxc 的字眼
- Storage Driver 盡量用最新的 Overlay2
(To be continued …)
相關文章
評論
尚無評論