博客家

Docker;现在Docker映像安全了吗?

通过易卜拉欣压力

7分钟阅读

这是Docker系列文章的第二篇。在我们最初的博客中Docker;现在怎么办呢?,我们讨论了使用通用的原因二进制存储库当有信心地实现Docker到生产时。

使用Docker很好,但是管理安全漏洞是确保Docker环境没有恶意工件的关键。这在从3中下载二进制文件时尤为重要理查德·道金斯政党供应商,因为您需要确保积极阻止任何漏洞,从结束Docker形象

在这篇博客文章中,我们将回顾四个主要的安全挑战使用Docker以及如何使用JFrog Artifactory作为二进制存储库可以帮助您减轻Docker环境中的这些安全风险。

挑战1:跨多层管理二进制文件负载

Docker映像不是空的,因为它们包含多个二进制文件(例如操作系统包和应用程序)。在理想的情况下,您希望确保添加到Docker映像中的所有二进制文件都经过了测试、通过了QA并经过了安全检查。随着规模的扩大,管理多个包变得越来越有挑战性,很难获得控制权。

在一个简单的环境中,您可能要管理10个不同的Docker映像,使用两种不同的操作系统和15种不同的二进制类型。然而,当您的环境发展到在一个映像中包含15种不同风格的操作系统和40种不同的二进制文件时,主要的挑战就出现了。

解决方案:Artifactory充当二进制释放门

Artifactory通过允许您控制进入Docker映像的内容来解决这一挑战,因为它允许您将所有二进制文件存储在一个位置-Docker注册表.因此,如果你已经标记了一个经过测试、QA并通过安全测试的二进制文件,那么你就可以把它放在Docker映像中。如果二进制文件不能满足分类属性,那么您可以轻松地限制它不被推送到Docker映像。
Docker镜像DevOps管道

挑战2:保护对Docker映像的访问

现在,您已经确保Docker映像内容没有漏洞,您已经准备好应对下一个挑战了。如何访问这些Docker映像?如果您依赖于明文密码,那么它可能会带来安全风险。很少有公司制定员工如何管理密码的政策。例如,他们可以把它保存在便利贴上,与其他成员分享,或放在一个脚本中。这些都是安全隐患。

使用加密密码也无济于事。原因是加密的密码在客户端被解密,并在内存中以明文形式结束,然后通过网络传输(除非还强制使用SSL)。

另一种替代方法是使用API密钥。但是,如果员工离开公司,他们仍然拥有密码。API密钥默认不过期,只能由API密钥的发起者撤销,存在安全风险。

解决方案:Artifactory使用访问令牌支持安全访问

Artifactory支持访问令牌,提供高级和灵活的身份验证,具有一系列功能:

  • Cross-instance认证:访问令牌可以用于身份验证,不仅可以用于创建它们的Artifactory实例或集群,还可以用于属于同一个“信任圈”的其他实例和集群。
  • 用户和非用户认证:对Artifactory用户进行身份验证的理由很清楚;但是,访问令牌也可以分配给非用户实体,例如CI服务器作业。
  • 基于时间的访问控制:访问令牌有一个有效期。您可以控制授予访问权限的时间段。但是,您也可以通过使接收用户可刷新来将控制权委托给接收用户。
  • 灵活的范围:控制访问级别通过将组分配给令牌。

使用Artifactory访问令牌

挑战3:提供对Docker映像的选择性访问

下一个问题是如何控制谁可以下载或移动二进制文件到特定的Docker映像。一旦二进制文件成为Docker映像的一部分,您就可以确定谁可以访问该映像?您可能还希望为不同的用户设置不同的读写权限。

解决方案:Artifactory提供对Docker映像的细粒度访问控制

Artifactory允许您通过选择具有相应权限集的用户或组来控制对存储库的访问。您可以将对整个存储库的访问限制为单个二进制文件,并将对任何规模的组的访问限制为单个开发人员。

使用这种灵活的机制,您可以从整个存储库中定义任何东西,从您的组织的访问中排除,到在存储库中包含单个工件,这可能对您的开发工作至关重要。

挑战4:检测潜在的安全风险和漏洞

最后,您需要深入了解Docker映像的安全性.在DevOps周期中越早发现并删除漏洞,就能越快地将软件发布到生产环境中。大多数人求助于需要单独管理的三方工具。

解决方案:Artifactory Package本地UI显示JFrog x射线元数据

端到端的获取Docker安全覆盖,我们的专用Docker包本机UI在Artifactory无缝集成JFrog x光在UI查看器中直接显示漏洞元数据。让我们看看这是如何工作的。

Artifactory Package Viewer,允许您通过名称或标记搜索Docker映像,并使用包原生UI显示结果,该UI强调最相关的元数据,具有本机Docker注册表的外观和感觉。

Artifactory与JFrog x射线紧密集成在整个软件开发生命周期过程中,提供软件工件和依赖项的自动化和持续治理。因此,如果您有任何漏洞,您将能够在Artifactory仪表板上检测和管理它。

结论

无论你是在一家小公司还是大公司,安全总是一个需要考虑的问题。JFrog Artifactory充当了看门人的角色,以确保将正确的图像推送到生产中。它可以让你获得对docker镜像内容的细粒度控制,谁可以访问docker以及谁可以将内容上传到docker镜像。Artifactory与Xray的本机集成可帮助您在早期阶段获得漏洞洞察。在下一篇博客中,我们将讨论如何为Docker环境配置高可用性。

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

预约演示