原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
Docker安全实践分享
2143
是否愿意使用Docker?对Docker安全性是否有顾虑? 非常可能 19%正在使用 14%有可能53%不会14%是26%否74%
传统的安全问题新的安全问题操作系统漏洞镜像安全WebshellDocker守护进程安全后门程序Docker自身的安全RootkitDocker调度编排工具的内核安全安全SSH暴力破解
Docker镜像安全公共docker仓库上的镜像不一定都是安全的 pul
命令执行,2信息泄露,1拒绝服务,3绕过,2提权,3
开发环境测试环境生产环境 PushBuildPullPull
ContainerconfigApplayerHostlayerMiddlewarelayerCVE漏洞扫描 基线扫描代码安全扫描Docker镜像扫描
ClairAnchore命令行 API调用 Web界面NO 支持Kubernets 支持CI/CD二次开发 Jenkins插件是否开源完全开源部分开源Docker镜像扫描 DockerSecurityScanning CoreOSClair Anchore
Docker镜像扫描工具的运营
ElasticSearch/StormWebconsole 事件处理平台Docker集中运维!
logHostContainerKafkaKafka LogstashDocker日志收集Filebeat
HostLog-ServiceELKKafkaHDFS Docker日志收集---优化
Docker安全监控 传统安全方案完全不适用
容器与外部互访流量 容器之间互访流量Docker安全监控---流量
实时监控 基于可配置的规则 Docker安全监控---异常行为
Docker安全监控---进程监控curl-XGET--unix-socket/var/run/docker.sockhttp://v1.26/containers/48f/top
基线标准---Docker
基线标准---Kubernetes
020103 04
THANKS
文档评论(0)