11 советов по повышению безопасности контейнеров 🔐

1 🔒 Используйте официальные образы

Для минимизации уязвимостей всегда используйте официальные, проверенные образы контейнеров из надежных источников. Проверяйте подписи образов, чтобы убедиться в их подлинности.

2 📦 Регулярно обновляйте образы

Поддерживайте образы контейнеров в актуальном состоянии с помощью последних исправлений и версий, чтобы устранить известные уязвимости. По возможности автоматизируйте обновления.

3 🔍 Сканирование образов на наличие уязвимостей

Используйте такие инструменты, как Clair, Trivy или Anchore, для проверки образов контейнеров на уязвимости перед развертыванием. Сделайте это частью вашего CI/CD pipeline.

4 📜 Следуйте принципу наименьших привилегий

Запускайте контейнеры с минимально необходимыми привилегиями. Избегайте запуска контейнеров от имени root и используйте пространства имен пользователей для разграничения привилегий.

5 🛠️ Используйте средства обеспечения безопасности на этапе выполнения

Используйте инструменты безопасности во время выполнения, такие как Falco или Sysdig Secure, для мониторинга и защиты запущенных контейнеров от угроз и аномалий.

6 🔐 Внедрите сегментацию сети

Изолируйте контейнерные сети, чтобы ограничить связь между контейнерами. Используйте инструменты вроде сетевых политик Kubernetes для обеспечения сегментации.

7 📋 Ограничение использования ресурсов

Ограничьте ресурсы (процессор, память), которые могут использовать контейнеры, чтобы предотвратить атаки на исчерпание ресурсов. Используйте квоты и лимиты ресурсов Kubernetes.

8 🛡️ Включение контекстов безопасности

Определите контексты безопасности в платформе оркестровки контейнеров для контроля доступа и разрешений. Используйте PodSecurityPolicies в Kubernetes.

9 🧩 Используйте решения для управления секретами

Безопасное управление и хранение конфиденциальных данных, таких как пароли и ключи API, с помощью таких инструментов, как HashiCorp Vault, AWS Secrets Manager или Kubernetes Secrets.

10 🌐 Регулярные аудиты и проверки на соответствие требованиям

Регулярно проводите аудиты безопасности и проверки на соответствие требованиям, чтобы обеспечить соблюдение политик и стандартов безопасности. Автоматизируйте аудиты с помощью таких инструментов, как kube-bench.

11 🔄 Постоянно обучайте свою команду

Постоянно информируйте свою команду о последних практиках и тенденциях в области безопасности. Регулярно проводите тренинги и делитесь ресурсами.

#devops #девопс #docker #containers #security

Подпишись 👉@i_DevOps

Практическое руководство по Kubernetes: Сетевая политика 🛠️

Сетевые политики Kubernetes представляют собой надежный механизм контроля взаимодействия между подами и другими конечными точками сети. Они необходимы для обеспечения безопасности ваших приложений путем определения правил, определяющих, как поды могут взаимодействовать друг с другом и другими сетевыми ресурсами. В этом практическом руководстве мы рассмотрим основы и продемонстрируем, как реализовать сетевые политики на практическом примере, включающем фронтенд и бэкенд-приложения.

https://medium.com/@muppedaanvesh/a-hands-on-guide-to-kubernetes-network-policy-%EF%B8%8F-041bebe19a23

#devops #девопс #docker #containers #security

Подпишись 👉@i_DevOps

Talos Linux & VirtualBox: готовим свой Kubernetes

Есть множество путей развернуть свой Kubernetes. Все они разные, выбор зависит от вашего бюджета, от того, какие задачи вы планируете решать, для каких нагрузок и что в конечном итоге вы планируете получить. В этой статье мы быстро пройдёмся по различным способам инсталляции, а затем попробуем развернуть свой K8s кластер на виртуальных машинах, воспользовавшись гипервизором второго типа (VirtualBox). Но это будет не условная Ubuntu, на которую мы будем ставить необходимые компоненты, а целая операционная система, разработанная специально для Kubernetes — Talos Linux!

https://habr.com/ru/articles/825682/

#devops #девопс #docker #containers #security

Подпишись 👉@i_DevOps

Высокотехнологичная компания-производитель IT-инфраструктуры YADRO в поиске опытных DevOps-специалистов:

1️⃣ Старший DevOps инженер
2️⃣ DevOps engineer (Senior, Lead)
3️⃣ Инженер технической поддержки
4️⃣ Инженер по резервному копированию

Ты сможешь присоединиться к специалистам с огромным опытом, профессиональными знаниями, открытостью взглядов и инновационными идеями, чтобы создавать технологические решения и раскрыть свой творческий потенциал.

А ещё у тебя будут:

– Гибридный или удалённый формат работы;
– Возможность гибкого начала и окончания рабочего дня;
– Конкурентный уровень заработной платы и премирование по результатам работы;
– Возможность горизонтального и вертикального роста;
– Обучение за счёт компании: учебный портал с курсами и лекциями от экспертов, дополнительное профессиональное обучение, изучение английского, участие в конференциях;
– Личное участие в становлении процессов и продуктов, возможность увидеть результат своей работы;
– Большое инженерное сообщество, которое постоянно развивается;
– ДМС со стоматологией с первого дня, консультации юристов, психологов, экспертов по ЗОЖ и управлению финансами;
– Программа поддержки инноваций;
– Скидки для сотрудников, дополнительные day-off;
– Комфортные офисы в Москве, Санкт-Петербурге, Нижнем Новгороде и Минске.

Откликайся по ссылкам и стань частью YADRO!

Xeol

Cканер образов контейнеров, SBOM и файловых систем на проверку пакетов на end-of-life (EOL)

https://github.com/xeol-io/xeol

#devops #девопс

Подпишись 👉@i_DevOps

Diun. Система оповещения о новых Docker контейнерах.

Diun следит за установленными контейнерами и сравнивает их версии с версиями на репозиториях.

00:00 | Intro
00:16 | Проблема обновления docker
00:36 | Diun
00:53 | Сравнение с Watchtower. Основные функции
01:27 | Особенности обновления с Watchtower
03:02 | Проблема с образами image в Watchtower
04:21 | Diun обзор
04:56 | Diun системы уведомлений и провайдеры
06:15 | Diun. docker compose. Установка
08:21 | Расширенные параметры. Настройка diun.
11:00 | Запуск diun. Тест
12:03 | Crontab.guru - сервис настройски времени crontab (Scheduler)
12:30 | Тест diun. Уповещения в логе
13:34 | Настройка уведомлений в diun. Подключение к gotify
16:27 | Как обновить docker контейнер вручную.
17:13 | Преимущество diun уведомлений
18:12 | Gotify установка. docker compose.
18:34 | Спасибо

источник

#devops #девопс

Подпишись 👉@i_DevOps

Sealos

Облачная операционная система, предназначенная для управления облачными приложениями.
Это готовый к продакшену дистрибутив Kubernetes, который представляет собой универсальное решение для публичных и частных облаков.

https://github.com/labring/sealos

#devops #девопс

Подпишись 👉@i_DevOps

Linux: настройка мониторинга за 15 минут с помощью Grafana и Prometheus

В этом видео показывается, как организовать мониторинг сервера/компьютера на операционной системе Linux с помощью Grafana, Prometheus и Node Exporter

https://www.youtube.com/watch?v=X_g-eJqiiLo

#devops #девопс

Подпишись 👉@i_DevOps

Tyk Gateway

Это современный, сверхпроизводительный, специально разработанный API-шлюз с открытым исходным кодом.

Tyk Operator предоставляет возможности полного жизненного цикла управления API в Kubernetes. Вы можете настраивать Ingress, API, политики безопасности, аутентификацию, авторизацию, посредничество, используя лучшие практики GitOps с помощью пользовательских ресурсов и примитивов, присущих Kubernetes.

https://github.com/TykTechnologies/tyk-operator

#devops #девопс

Подпишись 👉@i_DevOps

Checkov

Предотвратите неправильную конфигурацию облака и найдите уязвимости во время сборки в инфраструктуре как коде, образах контейнеров и пакетах с открытым исходным кодом с помощью Checkov от Bridgecrew.

https://github.com/bridgecrewio/checkov

#devops #девопс

Подпишись 👉@i_DevOps

Расскажите о ключевом различии между виртуализацией и контейнеризацией

Виртуализация позволяет запустить несколько операционных систем на одном физическом сервере. Контейнеризация работает на одной и той же операционной системе, в которой приложения упакованы в контейнеры и запускаются на одном сервере/виртуальной машине.

Где хранятся тома Docker?

Тома, создаваемые и управляемые Docker (у не-Docker процессов к ним нет доступа), хранятся в файловой системе сервера Docker по пути /var/lib/docker/volumes/. Тома — наиболее эффективный способ сохранения данных в Docker.

Расскажите кратко о жизненном цикле контейнера Docker

Жизненный цикл контейнера:
Создание контейнера
Работа контейнера
Приостановка контейнера
Возобновление работы контейнера
Запуск контейнера
Остановка контейнера
Перезапуск контейнера
Принудительная остановка контейнера
Удаление контейнера

#devops #девопс

Подпишись 👉@i_DevOps

tEKS

Это набор модулей Terraform / Terragrunt, предназначенных для получения всего необходимого для запуска производственного кластера EKS на AWS. Он поставляется с разумными настройками по умолчанию и добавляет множество распространенных аддонов со своими конфигурациями, которые работают из коробки.

https://github.com/particuleio/teks

#devops #девопс

Подпишись 👉@i_DevOps

Ansible против bash-скрипта 😀

#devops #девопс

Подпишись 👉@i_DevOps

Программа сообщает о том, что не может найти свой конфиг. Каким образом можно узнать, где она пытается его найти?

line-buffered опция которая выведет результат как только найдет

strace -f — отслеживание дочерних процессов

strace -f l ftp sitename | & grep --line-buffered open | grep /home/user

Либо в самой программе, если удастся найти параметры

/usr/sbin/mysqld --verbose --help | grep -A 1 «Default options»

#devops #девопс

Подпишись 👉@i_DevOps

Харденинг Docker: что это и зачем он нужен?

Приходи на открытый урок для разработчиков, специалистов по безопасности и всех, кто хочет углубиться в тему и понять природу уязвимостей.

Опытный эксперт разберет, какие проблемы есть с Docker-контейнерами, почему они возникают и как от них защищаться.

Встречаемся 6 августа в 20:00 мск.

Всем участникам дадим скидку на большое обучение.

🔴 Регистрируйся прямо сейчас, чтобы посетить вебинар бесплатно: https://vk.cc/cz0wVw

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Продвинутые сетевые функции Kubernetes

Kubernetes, ставший де-факто стандартом для оркестрации контейнеров, значительно упрощает развертывание, масштабирование и управление контейнеризированными приложениями. Однако, по мере роста и усложнения инфраструктуры, требования к сетевым возможностям также увеличиваются. В современных распределенных системах, где различные микросервисы взаимодействуют друг с другом, критически важно обеспечить безопасность, производительность и надежность сетевых коммуникаций. Здесь на помощь приходят продвинутые сетевые функции Kubernetes, такие как:

Network Policies
Service Mesh
Ingress Controllers
Функции для масштабирования и оптимизации сети
Функции поддержки высокодоступных и отказоустойчивых архитектур
Механизмы оптимизации и балансировки нагрузки
Функции для диагностики сетевых проблем

https://habr.com/ru/companies/amvera/articles/833464/

#devops #девопс

Подпишись 👉@i_DevOps

Что такое MLSecOps, или Как безопасность искусственного интеллекта стала заботой DevSecOps

Пока все повально занимаются внедрением ML в SecOps, мы пошли дальше и стали внедрять SecOps в ML. Но обо всем по порядку. Я Светлана Газизова, работаю в Positive Technologies директором по построению процессов DevSecOps. Кстати, мы знакомы, если вы читали мою статью о том, кто такие специалисты по безопасной разработке и где на них учиться.

https://habr.com/ru/companies/pt/articles/832190/

#devops #девопс

Подпишись 👉@i_DevOps

Работа с хранилищами в Kubernetes

Kubernetes «из коробки» — отличное средство для запуска и масштабирования stateless (т.е. без сохранения данных) приложений. Сложности начинаются для stateful (т.е. с сохранением данных) приложений, таких как базы данных, например MySQL, PostgreSQL и прочее. На мастер-классе на практических примерах вы разберете решение задач хранения данных для приложений, работающих в Kubernetes, начиная с простого продолжения PersistentVolume/PersistentVolumeClaim — rancher/local-path-provisioner и заканчивая сложными.

Вам будет интересно и полезно, если:
-инженер DevOps;
-системный администратор;
-технический специалист;
-Middle разработчик.

Вы узнаете:
- как развернуть сервис Keycloak с базой данных учетных записей и приложение, использующее его для OpenID аутентификации, в корпоративном On-Premises Kubernetes;
- как убедиться в отказоустойчивости полученного решения, как с точки зрения доступа пользователей, так и хранения данных.

источник

#devops #девопс

Подпишись 👉@i_DevOps

📌Что такое объекты Docker?

Под объектами понимают образы, сервисы и контейнеры.
Образы — шаблоны с инструкциями только для чтения для создания контейнеров.
Контейнеры — запущенные экземпляры образов.
Сервисы — можно запустить несколько контейнеров поверх нескольких сервисов Docker, работающих совместно как swarm.

Еще объектами можно назвать сети и тома.


📌Можно ли использовать JSON вместо YAML в файле для docker-compose, если да — как?

Да, так можно сделать. Для этого нужно явно указать имя файла, например так:
docker-compose -f docker-compose.json up

#devops #девопс

Подпишись 👉@i_DevOps

tfprovidercheck

CLI для предотвращения выполнения вредоносных Terraform Providers. Вы можете определить список разрешенных Terraform Providers и их версий, а также проверить, не используются ли запрещенные провайдеры.

https://github.com/suzuki-shunsuke/tfprovidercheck

#devops #девопс

Подпишись 👉@i_DevOps

Назовите важные команды Docker

docker -version: узнать установленную версию Docker;
docker ps: перечислить все запущенные контейнеры вместе с дополнительной информацией о них;
docker ps -a: перечислить все контейнеры, включая остановленные, вместе с дополнительной информацией о них;
docker exec: войти в контейнер и выполнить в нем команду;
docker build: собрать образ из Dockerfile;
docker rm: удалить контейнер с указанным идентификатором;
docker rmi: удалить образ с указанным идентификатором;
docker info: получить расширенную информацию об установленном Docker, например, сколько запущено контейнеров, образов, версию ядра, доступную оперативную память и т.п.;
docker cp: сохранить файл из контейнера в локальную систему;
docker history: показать историю образа с указанным именем.

#devops #девопс

Подпишись 👉@i_DevOps