金融行业面向互联网的渠道业务,通常部署在DMZ区,经常会受到攻击。
采用容器平台,从主机、docker、应用层面该做哪些安全防护?
最佳实践案例是什么?具体用什么产品?
我们想到的是:主机通过vmware 进行隔离,通过趋势安全对虚拟化进行防护(操作系统)。
ocp的保护手段比较核心的有:通过ovs实现项目之间的隔离(ovs多租户),提供安全加固后的容器镜像,红帽提供300多个;访问应用可以使用双向认证;不让root用户运行容器等。如果是第三方的专业安全工具,比如blackduck,可以无缝和ocp集成,功能更多。金融行业的生产和非生产ocp 通常做物理隔离,两套集群。非生产的dev test sit之类的,可以做项目隔离。
收起