通常而言,镜像的构成包括两部分,一是基础镜像,一是在基础镜像之上进行的各种文件和指令操作。如果想要制作出满足最佳实践的应用镜像,应选取精简的没有安全漏洞(或者尽可能少漏洞)的基础镜像,也要保证Dockerfile的内容遵守制定好的编写规范。在有了模板文件编写规范后,应通过管理...
1.镜像中病毒或木马应如何处理? 1)如果是已经有运行实例的镜像,建议对容器实例进行下线;2)清除病毒木马,重新构建镜像,重新部署容器,恢复业务;3)调查中病毒的原因,是基础镜像污染、还是业务软件部分污染。明确病毒木马通过什么样途径进入到镜像中,修复管理漏洞。对于服务器端软件,发...
您的问题可以分开考虑:1)漏洞利用、逃逸攻击属于典型的安全问题,应采用专业的容器安全工具进行实时入侵检测。容器安全工具会监控进程执行、文件读写、网络流量来发现异常,匹配检测规则来判定容器是否遭受到了网络攻击。但这类容器安全工具不是运维层面的监控工具(Zabbix/Prom...
本文为云原生应用创新实践联盟——容器云安全方向课题组线上交流活动总结,相关协作专家如下所示,更多内容可点击此处进入云原生应用创新实践联盟进行查看。执笔专家:张工课题组特邀外部专家twt社区云原生应用创新实践联盟——容器云安全方向课题组特邀外部专家。目前就职某...
(more)系统层面通过常规手段即可监控,有很多监控工具都可以,部分工具比如zabbix的最新版本,也都支持容器的监控,另外k8s本身就可以监控容器,因此只需将几种工具集成起来就可以实现。另外通过zabbix这种工具也可以实现...
我记得只有存储引擎是devicemapper的情况下才支持动态扩容。
容器安全加固方面,也有相关的最佳实践,很多安全公司现在都有这方面的实践和建议,比如对dockerfile的安全配置建议,对于k8s yaml的安全配置建议。这些建议很多是来自CIS,可以根据自己的实际情况选择使用。CIS对于k8s组件的配置也有一套安全规范可以参考。如果有合作的安全公司...
