集装箱安全实用入门

2020-11-04 06:56:35

保护集装箱是一项复杂的任务。问题空间很广,供应商着火了,有大量的清单和最佳实践,很难确定解决方案的优先顺序。那么,如果您必须实现容器安全策略,您会从哪里开始呢?

我建议从基础开始:理解集装箱安全是关于什么的,并构建一个模型来导航风险。

每个安全计划最终都受到可以在哪里实现安全控制的约束,所以我发现遵循标准的DevOps生命周期到表面模式™和解锁协同™是可行的。

容器以Dockerfile的形式包含在应用程序中,但实际上并不是其中的一部分。因此,他们对计划和编码阶段不感兴趣。

从安全角度来看,其他每一步都在范围内,我将按如下方式对它们进行分组:

为什么?每一种安全策略只有在能够实施的情况下才是有效的。每组中的每一步都共享一个公共设施,在那里可以注入安全控制,而不会增加太多摩擦:

现在我们有三个宏观领域可以作为风险评估的起点。

在构建时,我们输入了一堆源文件和一个Dockerfile,然后我们得到一个Docker图像作为输出。

这是大多数供应商倾向于聚集的地方,同时试图向您兜售扫描集装箱图像并结束的重要性的叙述。集装箱安全扫描固然重要,但还不够。