各位专家好,从权威数据上看,容器配置问题产生的安全风险,目前排名第一,针对容器的安全基线配置,一般注意哪几方面?是否有比较实用的容器安全基线配置标准或者规范可供参考?
非常好的问题!
风险来自于两个大的方面,一是漏洞,二是配置不当。容器的配置风险分为三个方面:
1)K8S集群配置,例如kublet是否允许匿名访问;
2)Docker配置,例如是否以特权模式启动;
3)容器镜像配置,例如是否存在不必要的软件组件;
如果考虑得再完善一些,还可以考虑主机上的配置和网络上的配置。其实都在CIS-Benchmark里有相关描述,获取链接:https://learn.cisecurity.org/benchmarks
对应不同的K8S和Docker版本,标准也略有差异。因基线标准内容较多,所以在本回复中就不讨论细节。
备注:CIS的规范制定并未考虑中国的国情,所以在落地时通常需要企业根据自身情况对规范进行裁剪。
收起