Часть 3. Инструменты и технологии

Глава 13. Безопасность и ограничения контейнеров

Содержание

13. Безопасность и ограничения контейнеров
Вещи, о которых стоит беспокоиться
Эшелонированная оборона
Наименьший уровень привилегий
Обеспечение безопасности Identidock
Разделение контейнеров по хостам
Применение обновлений
Избегайте неподдерживаемых драйверов
Происхождение образов
Docker Digests
Docker Content Trust
Воспроизводимые и надёжные Dockerfile
Советы по безопасности
Устанавливайте пользователя
Ограничивайте сетевую среду контейнера
Удаляйте двоичные файлы Setuid/Setgid
Ограничивайте память
Ограничивайте ЦПУ
Ограничивайте перезапуски
Ограничивайте файловые системы
Ограничивайте возможности
Применяйте пределы ресурсов (ulimit)
Работайте с устоявшимся ядром
Модули безопасности Linux
SELinux
AppArmor
Аудит
Реакция на инциденты
Грядущая функциональность
Заключение

 Вещи, о которых стоит беспокоиться

 Эшелонированная оборона

 Наименьший уровень привилегий

 Обеспечение безопасности Identidock

 Разделение контейнеров по хостам

 Применение обновлений

 Избегайте неподдерживаемых драйверов

 Происхождение образов

 Docker Digests

 Docker Content Trust

 Воспроизводимые и надёжные Dockerfile

 Советы по безопасности

 Устанавливайте пользователя

 Ограничивайте сетевую среду контейнера

 Удаляйте двоичные файлы Setuid/Setgid

 Ограничивайте память

 Ограничивайте ЦПУ

 Ограничивайте перезапуски

 Ограничивайте файловые системы

 Ограничивайте возможности

 Применяйте пределы ресурсов (ulimit)

 SELinux

 AppArmor

 Заключение