来自 数据 2021-07-17 19:20 的文章

海外高防_网络防御_如何防

海外高防_网络防御_如何防

去年,CloudPassage实现了一些大型集装箱里程碑。我们推出了cloudpassion Container Secure,这是我们针对容器、容器映像及其运行的主机的安全解决方案。我们还提供了一些有用的内容,为早期采用Docker的用户提供了一些启动安全性的提示。今年,我们准备深入研究。因此,php防御DDOS,对于在测试容器并迅速开始将其集成到各种工作负载中的组织中的所有人,本指南是为您准备的。下面是我们对高级Docker容器采用者的五个关键提示。毫无疑问,为了确保你的容器是安全的,这五个技巧中的每一个都应该被使用。#1。当涉及到Docker图像和机密时,ddos慢速攻击防御,不要将凭证烘焙到图像中。为什么,你问?因为图像很容易打包和传送,所以它们是压缩的归档文件,可以存储在Docker注册表中,每个图像层代表构建过程中前一步的文件系统增量。想象一下:开发人员很匆忙,在一个层中复制凭证,使用凭证,然后在下一层中删除凭证。如果容器被实例化并被检查,机密文件将不会出现ls,但是如果下载了所有层,则可以在/var/lib/docker/overlay2和问题树中看到该文件。这是因为OverlayFS不会更改先前的图层,而是会创建一个白化文件,免费ddos防御,因此该文件似乎已被删除。若要在构建过程中移除文件,则需要在同一层中移除该文件,或者需要实施多阶段构建。有几种方法可以解决这个问题:正如"十二因素应用程序"所指出的,您可以使用环境变量,目前无法防御的ddos类型,例如"docker run–name=qa–env="MYSQL_ROOT_PASSWORD=mypassword"MYSQL"使用Docker机密或kubernetes机密存储敏感信息。有不同的方法来解决这个问题。有些人认为应该使用环境变量,因为每个环境都是不同的,它们可以在运行时传递。另一方面,也有人注意到环境变量存储在clear中,权限大于或等于正在运行的进程的进程可以读取它们。也就是说,网站怎么防御cc,使用对您的应用程序最有意义的东西。#2。不要使用你不信任的图片。如果应用程序是关键的,则始终可以从头开始构建映像。在创建任何基础映像之前,请始终将其拉入您的私有注册表。这对于将图像分析工具放在基本映像的范围内非常有用(如果无法将它们指向公共注册表)。#3。限制变化率。如果必须使用公共映像,请考虑将基本映像(Dockerfile中的FROM行)固定到摘要,而不是图像标记(来源:https://docs/docker.com/docs/engine/reference). 从[@][AS]如果您不能指向公共注册表,请在构建任何基础映像之前将其拉入私有注册表,以控制生成应用程序的基础映像的更改率。#4。注意配置。始终注意任何容器中的层数,以及层中包含的内容(例如CVE-2017-14992)。另外,了解用户也是至关重要的。不久前,CloudPassage的一个团队对Docker图像层进行了一些独立的研究。研究小组分析了来自Docker Hub的4900多个社区构建的图片,从最受欢迎的开始。90.8%的图像没有指定的用户,因此将以root用户身份运行。大约百分之二的图像被指定为根,所以至少考虑了它。#5。执行仔细的漏洞管理。在漏洞管理方面没有丝毫懈怠的余地。始终扫描所有映像中的CVE,并分析正在运行的容器,以查看它们是否有易受攻击的包、是否以根用户身份运行、是否可写或是恶意的。要了解更多关于如何最好地保护Docker容器的信息,请访问我们网站的容器安全部分。