3. Gerenciamento de
Rede OpenShift
● Com o openshift é possível fazer isolamentos de redes
por projetos
● Por padrão, todos os pods em um projeto podem ser
acessados de outros pods e terminais de rede. Para
isolar um ou mais pods em um projeto, pode ser usado
o NetworkPolicy
https://docs.openshift.org/latest/admin_guide/managing_networking.html
4. Preocupações:
● Com o kernel do host, pois o mesmo é compartilhado entre
os containers
● Com os recursos de cada container, pois um container pode
fazer com que falte recursos e atrapalhe outros containers
● Com o uso root nos containers
● Com as imagens, pode ser utilizado algo malicioso, inseguro
e deixar o host vulnerável
● Com certos dados utilizados dentro de um container, como
senhas e usuários de banco de dados em variáveis de
ambiente
5. Boas práticas
● Não usar variáveis de ambiente
● Dica: Docker Secrets Management (para guardar informações sensíveis)
●
Cuidado com o uso do root
● Criação de namespace isolados
● Limitar ao máximo os privilégios
●
Imagens confiáveis
●
Limitar recursos
● Monitoramento e Alertas
● Utilizar ferramentas de scanner de vulnerabilidades
●
Criar namespaces no nível de usuário e restringir recursos da raiz
do container.
6. Ferramentas
● Docker Security Scanning: A solução fornece um
perfil de segurança detalhado das imagens Docker. A
ferramenta faz uma varredura das imagens antes de
serem utilizadas e monitoramento de vulnerabilidades.
Esta ferramenta está disponível no Docker Hub, Store e
Cloud.
● DockerScan: Com ela é possível fazer uma varredura
buscando por vulnerabilidades de segurança e também
fazer o inverso, injetar vulnerabilidades em imagens
Docker.
7. ● Cilium: Traz uma filtragem de segurança de rede para
estruturas de contêineres do Linux, como Docker e
Kubernetes. Fornece uma maneira simples e eficiente de
definir e aplicar as políticas de segurança da camada de
rede e da camada de aplicativos.
● SysDig Falco: Serve para monitorar as atividades
comportamentais, para detectar atividades irregulares.
Permite monitorar e detectar continuamente a atividade de
contêiner, aplicativo, host e rede. Pode detectar e alertar
sobre qualquer comportamento que envolva fazer chamadas
ao sistema Linux. O próprio OpenShift recomanda o uso
dele.
Ferramentas
Mais algumas ferramentas de segurança: https://sysdig.com/blog/20-docker-security-tools/
9. Dicas do Fernando
● Pelo que eu sei tu consegue criar varias redes, e elas por default
não vão se "enchergar"
● Pra cada container tu pode criar uma rede
● Ter algumas precauções, como limitar cpu, memória
● Se vai ter mais de um cliente no mesmo host, pode ser um
problema, ele vai poder ver as redes existentes.
● No que eu puder ajudar, fico a disposição