金融行业面向互联网的渠道业务,通常部署在DMZ区,经常会受到攻击。
采用容器平台,从主机、docker、应用层面该做哪些安全防护?
最佳实践案例是什么?具体用什么产品?
我们想到的是:主机通过vmware 进行隔离,通过趋势安全对虚拟化进行防护(操作系统)。
主机方面,选择靠谱的,有厂商支持的操作系统,比如一般不推荐centos。
另外,建议开启SELINUX之类的安全策略,OpenShift安装默认开启。
Docker层面,或者说容器层面,选择更安全的运行时,比如现在的podman,不需要root启动,没有守护进程。
镜像层面,传统的CVE漏洞扫描,依然有效。可以选择一些周边的安全产品厂商,如果BlackDuck。
安全方面,说来话长。。。。。。。
红帽推荐10层安全机制,每一层都需要保护。