Podstawy bezpieczeństwa sieci Docker

9.1 Główne aspekty bezpieczeństwa sieci w Dockerze

W tym wykładzie omówimy główne aspekty bezpieczeństwa sieci w Dockerze, zalecenia i najlepsze praktyki w celu ochrony twoich kontenerów i danych.

Główne aspekty bezpieczeństwa sieci w Dockerze

1. Izolacja kontenerów
2. Kontrola dostępu
3. Szyfrowanie danych
4. Monitoring i audyt
5. Aktualizacje i łatki

9.2 Izolacja kontenerów

Izolacja kontenerów to pierwszy krok do zapewnienia bezpieczeństwa sieci Docker. Pomaga zminimalizować wpływ potencjalnych luk w zabezpieczeniach i zapobiega nieautoryzowanemu dostępowi między kontenerami.

Użycie sieci użytkownika

Twórz sieci użytkownika, aby izolować kontenery i ograniczać ich interakcje wyłącznie do wymaganych usług.

docker network create --driver bridge my_secure_network

W Docker Compose możesz zdefiniować sieć użytkownika dla każdej usługi.

version: '3.8'

services:
  web:
    image: nginx:latest
    networks:
      - my_secure_network
        
  app:
    image: myapp:latest
    networks:
      - my_secure_network
        
networks:
  my_secure_network:
    driver: bridge

Użycie reguł międzykontenerowych

Docker pozwala na ustawianie reguł międzykontenerowych w celu zarządzania interakcjami między kontenerami na poziomie sieci.

docker network connect --link <source_container>:<alias> <target_network> <container_name>

Przykład:

docker network connect --link container1:c1 multi-host-network container2

9.3 Kontrola dostępu

Kontrola dostępu jest ważna, aby zapobiec nieautoryzowanemu dostępowi do kontenerów i sieci.

Ograniczenie dostępu do portów

Ograniczaj dostęp do publikowanych portów, używając adresów IP oraz reguł zapory sieciowej.

docker run -d -p 127.0.0.1:8080:80 --name my_secure_container nginx

Używanie ról i polityk

Używaj ról i polityk dostępu, aby ograniczyć uprawnienia użytkowników zarządzających kontenerami i sieciami.

docker run -d --user <uid>:<gid> my_secure_container

9.4 Szyfrowanie danych

Szyfrowanie danych pomaga chronić poufne dane zarówno w stanie spoczynku, jak i podczas przesyłania.

Szyfrowanie danych w stanie spoczynku

Użyj szyfrowania systemu plików dla woluminów używanych przez kontenery.

docker run -d --name my_secure_container --mount 
type=volume,source=my_volume,destination=/data,volume-driver=local,volume-opt=o=bind,volume-opt=device=/mnt/secure_data nginx

Szyfrowanie danych podczas przesyłania

Użyj TLS do szyfrowania danych przesyłanych między kontenerami a zewnętrznymi usługami.

docker run -d -p 443:443 --name my_secure_container -v /path/to/cert.pem:/etc/nginx/cert.pem -v 
/path/to/key.pem:/etc/nginx/key.pem nginx

9.5 Monitorowanie i audyt

Monitorowanie i audyt pozwalają śledzić aktywność kontenerów i sieci, wykrywać potencjalne zagrożenia i reagować na nie.

Logi i metryki

Zbieraj logi i metryki kontenerów do analizy i monitorowania.

docker logs <container_name>

Używaj narzędzi monitorujących, takich jak Prometheus i Grafana, aby śledzić stan kontenerów i sieci.

Audyt

Włącz audyt, by śledzić działania użytkowników i zmiany w konfiguracji kontenerów i sieci.

docker events

9.6 Aktualizacje i poprawki

Regularne aktualizacje i poprawki pomagają chronić kontenery i sieci przed znanymi podatnościami.

Aktualizacja Docker

Śledź nowe wersje Docker i instaluj je na bieżąco.

sudo apt-get update

sudo apt-get install docker-ce

Aktualizacja obrazów

Regularnie aktualizuj obrazy kontenerów do najnowszych wersji zawierających poprawki bezpieczeństwa.

docker pull nginx:latest

9.7 Przykłady najlepszych praktyk

Przykład 1: Tworzenie izolowanych sieci

Utwórz izolowane sieci dla każdego komponentu swojej aplikacji.

docker network create --driver bridge frontend_network

docker network create --driver bridge backend_network

Uruchom kontenery w odpowiednich sieciach.

docker run -d --name frontend --network frontend_network nginx

docker run -d --name backend --network backend_network myapp

Przykład 2: Ograniczenie dostępu do portów

Ogranicz dostęp do portów kontenerów tylko dla wymaganych adresów IP i hostów.

docker run -d -p 192.168.1.100:8080:80 --name restricted_container nginx

Przykład 3: Użycie TLS dla szyfrowania

Skonfiguruj kontenery do użycia TLS w celu ochrony danych podczas ich przesyłania.

docker run -d -p 443:443 --name tls_container -v /path/to/cert.pem:/etc/nginx/cert.pem -v 
/path/to/key.pem:/etc/nginx/key.pem nginx

1

Опрос

Docker Swarm,  18 уровень,  3 лекция

недоступен

Docker Swarm

Docker Swarm

Открыть