开发者学堂课程【容器安全与 Palo Alto Networks 解决方案 :容器的合规性审核(二)】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/628/detail/9874
容器的合规性审核(二)
三、使用 Compliance Explorer 实时可视化合规状况
合规性监控按容器,主机和镜像分类
合规性问题排序方式:
优先级等级
问题的详细描述
识别特定的不合规容器
跟踪合规率和历史记录 ,以更好地了解趋势
//那同时,提供一个 compliance 的这个实时的一个视图。也会和其他的类目一样,也会分为三大类,一个是按照容器来分。第二个按照主机,第三个,按照镜像分别来看。
一个合规性的百分比,包括它的一个趋势那排序,也会可以按照,优先级等级,或者说,问题详细的描述,包括,特别的识别特定的那个不合格的容器,按照容器来分。
同时,可以帮助很清楚的去知道,合规的是越来越多,整个往更好的方向去发展,越来越多的设备或者容器和主机。合规性越来越高,还是会有一些其他的一些变化。
四、演示内容
信任的镜像仓库
合规性配置与检查
对非合规的镜像进行控制
//开始演示,第一个演示,叫 trust 的这个镜像仓库,怎么来设置信任的镜像仓库,做这个黑白名单,然后去除一些恶意的,或者说不在信任的这样一些仓库之外的这样一些镜像部署。同时接下去,会做一个合规性的配置与检查,可能去建一个新的这个 compliance 的这样一个标准。然后,做一些修改,试着如果不符合这些 compliance 要求的镜像,是不是可以进行控制。
//现在进入 demo 环节。这个浏览器,那在这里的话,到这个 monitor 下面 compliance进来以后,就可以看到三个不同的维度。这跟 converse 的这个的情况。
比如说在下面,可以看到每一个它会按照这个严重性会进行分类,比如说 critical 的是最需要进行解决。比如说这块儿,它会有详细的描述,为什么不符合这样的一些标准。然后,这也会告诉这一条,影响 complex 的这个占多少百分比,也就说如果解决了这个问题,compliance 就可以提高6或7那同时,比如说像,比如说可以任何一个点进去。
可以看到容器相关的这个 complains 的问题。比如说,这个是各忙各的,这样一个肯定,比如说这个 APP,这个application 的这个配置不太安全,比如说没有需要做加密,然后,比如说 running as root,这也是一个很大的一个问题。包括这里有一个比如说 pid 的这个 cgroup limit。
比如说这个会有比较详细的这个,描述的这个 folk bom 这种攻击,它可以使你的整个主机,去 crash。从而需要整个主机去需要重启,会对你的业务做很多的影响,造成很大的影响,也给出一些建议,做一些 cgroup limit,包括pid 的可以去帮去解决这样一些问题,那这里面会有很详细的,每一个都有很详细的这样一些描述,帮去怎么样来解决这样一些潜在的这样一些风险。
//这里有一个视图叫 trusted image。在这里,在 APP 的这个界面,当然这里面有很多,那这里面,它会显示在整个集群里面所有,目前正在运行的这样一些景象。在这一栏,可以看到有个 trust。
Trust 指的就是说这认为是一个 trust image,所以,从这些镜像仓库是被信任的。这些打叉的话,就是说这些是不被信任的,也就是说没有在那个 trusted image 的这个白名单里面。
需要做一些管控,如果发现整个容器的环境里面有大量的这个外来的,或者说不在所控制的这样一个白名单里面的话,那就需要打开这个 trustedimage 的这样一些功能去阻止一些不信任的这样一些镜像所产生勇气。
然后,比如说在这里,也会有一些 Complance 的信息,有三个 complex 的一个问题,比如说第一个,它有那个 private key,存在了这个镜像里面,在这个位置有这样一个 private key。
这也是非常详细的去帮助开发人员,去解决这些潜在的一些问题,因为很多开发人在初期的时候,可能为了这个部署的方便或者写程序的方便,会做一些觉得比较简单的一些操作,但是可能也知道这个可能会有今后可能会带来风险,但是,因为整个一个迭代的速度非常快。
可能在后期就忘了,之前可能做过这样一件事情,那可能就去删除了,这个的话,因为都是,人工去做这些事,难免会发生这样一些错误,需要通过这样一些不断去扫描整个一个环境里面的这样一些潜在的一些风险,帮你去规避那些,以后不必要的一些麻烦。
然后包括这个在这个环境变量里面,可以看到,把这个密码存在这个环境变量里面,也是非常不安全的。包括也建议整个 image 不应该用这样优势来进行创建。
