来自 防护 2021-10-13 13:19 的文章

服务器防护_网站安全防护系统_零误杀

"它在开发中起作用,在开发中起作用。不知道为什么它在生产中不起作用。现在是运营问题。"我们中的许多人至少经历过一次失败的应用程序生产部署。不幸的是,对于一些人来说,cc攻击没法防御,失败的部署所带来的记忆会在我们的余生中萦绕不去。但由于相对较旧的技术(但最近越来越受欢迎),这样的事情很快就会成为过去。欢迎集装箱化或大多数人知道它码头集装箱。为什么是Docker?长期以来,开发人员一直在寻找一种系统,用它他们可以构建一个软件,打包,然后在任何地方运行,而不必担心依赖关系、库版本、主机操作系统、底层硬件等。Docker容器是完美的解决方案。另一方面,操作人员一直在寻找一个系统,用于在一个与生产环境非常相似的环境中以一致和可重复的方式(最好是以脚本方式)设置开发/实验室环境。因此,当代码被部署到生产环境中时,他们可以确信它不会爆炸;即使它爆炸了,开发人员也可以快速地重现问题和问题修补程序。Docker容器也解决了这个问题。但还不止这些。Docker容器是从基本操作系统的精简版本构建的,只包含最低限度的系统库和支持程序。这意味着它们比虚拟机(vm)效率高很多,没有与vm相关的开销。因此,可以在同一个物理主机上打包比虚拟机更多的容器。另外,Docker支持UnionFS文件系统,它可以将多个文件系统组合成一个文件系统。你还记得你一直想打造的灯座形象吗?是啊,现在轻松多了。考虑到使用Docker的好处,ddos最好防御,很容易理解为什么开发人员会涌向"Docker"应用程序。但在他们走得太远之前,ddos攻击防御软件下载,有一件麻烦的小事需要注意安全。固定装卸工通过利用一些内核级别的特性,如名称空间和cgroups,Docker容器已经提供了一些现成的基本安全级别。但这还不够。用户需要采取额外的步骤来锁定内核,减少docker守护进程的攻击面,并强化容器配置,以获得真正安全的设置。怎么能帮得上忙?除了Nessus6.6之外,Tenable还发布了Nessus插件提要中的一些更新,以审核Docker主机和容器。下面是一些简单的步骤,你可以采取安全Docker安装。Docker服务检测和容器枚举确保Docker安装安全的第一步是在您的组织中找到它们。Tenable最近发布了一个Docker服务检测插件(#93561),它可以检测Docker的安装,如果可用,还会枚举该主机上的所有活动容器。下面是一个示例结果:修补程序Docker主机漏洞Docker容器与主机操作系统共享内核,这意味着内核级别的漏洞在Docker主机上的重要性提高了一个全新的层次。因此,对Docker主机运行一个全面的认证补丁审计是很重要的,以确保它们是最新的补丁,并且没有遗漏任何安全补丁。Nessus支持各种Linux发行版的本地安全检查。因此,不管你选择哪个基本操作系统作为Docker主机,Nessus很有可能已经支持它了。Docker的CIS审核下一步是加固Docker主机本身。例如,有严格的文件和目录权限,限制除docker守护进程之外运行的服务数量,限制用户对docker守护进程的访问,关注容器的蔓延等等。CIS为DockerV1.6+发布了一个非常好的基准测试,它涵盖了我刚才提到的所有内容以及更多内容。Tenable在Nessus 6.6中添加了对CIS Docker v1.6审计的支持。下面是一个示例结果:审核Docker容器Nessus还可以审核Docker容器的配置。只需选择一个审计并对Docker主机运行扫描,Nessus将自动识别适用的容器并审核这些容器的配置。例如,如果您使用Apache或MySQL等应用程序审计运行扫描,Nessus将自动识别运行Apache或MySQL的容器,并且只审计这些容器。不过,请记住,容器是基本操作系统的精简版本。因此,如果您对一个容器运行扫描,而该容器是针对整个基本操作系统的审核,则可能会发现一些不适用的结果。例如,不存在的文件或二进制文件。因此,我们鼓励您为Docker容器定制审计,并去掉不相关的部分。扫描完成后,Nessus将在Hosts选项卡下以特殊格式列出容器:container-名称.docker.container. 下面是一个例子:总结在我们的世界里,新技术层出不穷。昨天是虚拟化,ddos可以这么防御,防御cc攻击的服务器,今天是集装箱化,明天将是另一种情况。随着新技术的上线,Tenable将适应、发展并与您的需求保持一致。对审计Docker的支持只是我们添加到您的武库中的又一项新技术。