针对金融行业互联网业务生产环境容器云安全方面该做哪些设计?选用什么产品进行保障?

金融行业面向互联网的渠道业务,通常部署在DMZ区,经常会受到攻击。
采用容器平台,从主机、docker、应用层面该做哪些安全防护?
最佳实践案例是什么?具体用什么产品?
我们想到的是:主机通过vmware 进行隔离,通过趋势安全对虚拟化进行防护(操作系统)。

2回答

魏新宇魏新宇  售前技术支持 , 红帽企业级开源解决方案中心
zhuhaiqiang赞同了此回答
ocp的保护手段比较核心的有:通过ovs实现项目之间的隔离(ovs多租户),提供安全加固后的容器镜像,红帽提供300多个;访问应用可以使用双向认证;不让root用户运行容器等。如果是第三方的专业安全工具,比如blackduck,可以无缝和ocp集成,功能更多。金融行业的生产和非生产ocp 通常做物理隔...显示全部

ocp的保护手段比较核心的有:通过ovs实现项目之间的隔离(ovs多租户),提供安全加固后的容器镜像,红帽提供300多个;访问应用可以使用双向认证;不让root用户运行容器等。如果是第三方的专业安全工具,比如blackduck,可以无缝和ocp集成,功能更多。金融行业的生产和非生产ocp 通常做物理隔离,两套集群。非生产的dev test sit之类的,可以做项目隔离。

收起
 2019-12-24
浏览613
主机方面,选择靠谱的,有厂商支持的操作系统,比如一般不推荐centos。另外,建议开启SELINUX之类的安全策略,OpenShift安装默认开启。Docker层面,或者说容器层面,选择更安全的运行时,比如现在的podman,不需要root启动,没有守护进程。镜像层面,传统的CVE漏洞扫描,依然有效。可以选择一些...显示全部

主机方面,选择靠谱的,有厂商支持的操作系统,比如一般不推荐centos。
另外,建议开启SELINUX之类的安全策略,OpenShift安装默认开启。
Docker层面,或者说容器层面,选择更安全的运行时,比如现在的podman,不需要root启动,没有守护进程。
镜像层面,传统的CVE漏洞扫描,依然有效。可以选择一些周边的安全产品厂商,如果BlackDuck。
安全方面,说来话长。。。。。。。
红帽推荐10层安全机制,每一层都需要保护。

收起
 2019-12-24
浏览559

提问者

leelg系统工程师, 九江银行

容器云管理平台选型优先顺序调查

发表您的选型观点,参与即得50金币。

问题状态

  • 发布时间:2019-12-24
  • 关注会员:3 人
  • 问题浏览:1613
  • 最近回答:2019-12-24