容器环境下的数据安全越来越成为业界关注的焦点,因为容器环境带来应用部署的多样性挑战,如容器部署方式多样,底层环境复杂、混合云部署,带来数据,网络隔离等新问题。要做好容器安全实施,关键要做好以下几点:
应用隔离:解决应用系统没有天然的物理机或虚拟机的隔离边界
网络隔离: 不同项目和服务的数据访问是隔离的,POD间也能进行策略隔离;
注入防范: 传统的环境更多的侧重于运行时,容器环境下从镜像构建开始,大量不同来源的镜像文件,包括依赖的库,语言等,做好容器镜像的注入防范非常重要;
防篡改: 防止底层操作系统、已经被节点缓存的镜像文件被篡改
最小化运行权限: 本身依然需要的root权限的Docker容器不建议使用,而是用符合CRI标准的容器;
用户权限管理:从构建、测试到部署的整个全过程,都需要控制好工具与部署环境,运行实例的访问权限
链路安全: 确保各个通讯环节所使用证书的有效性,避免用户名密码泄漏到配置文件中
安全审计: 安全相关的信息散落在yaml文件和etcd中,需要统一视图并进行审计