Эпизод 20 | Практики безопасности Docker | Перестаньте работать под root и раскрывать секреты! Бе... скачать в хорошем качестве

Эпизод 20 | Практики безопасности Docker | Перестаньте работать под root и раскрывать секреты! Бе...

======================================================================== Подпишитесь:    / @dgruploads   =========================================================================== Здравствуйте! Вы развёртываете контейнеры, работающие от имени root? Пароли к вашим базам данных хранятся открытым текстом в файле docker-compose.yml? Если да, то ваша инфраструктура в одном шаге от полной утечки. Этот комплексный практический мастер-класс предназначен для разработчиков и DevOps-инженеров, которым необходимо создавать и развертывать по-настоящему безопасные контейнеры Docker промышленного уровня. Мы выходим за рамки теории и реализуем четыре столпа защиты контейнеров. Принцип наименьших привилегий (PoLP): Узнайте, почему запуск приложения от имени пользователя root (UID 0) внутри контейнера представляет собой самую большую угрозу безопасности. Если процесс контейнера скомпрометирован при запуске от имени root, злоумышленник получает максимальные привилегии, что значительно увеличивает риск взлома контейнера и компрометации хост-системы. Поймите необходимость снижения привилегий как первого шага в защите. Не-root пользователи: Реализуйте необходимую инструкцию USER в Dockerfile. Мы рассмотрим, как создать выделенного непривилегированного пользователя (например, appuser) и использовать команду chown для установки правильного владельца файла в каталоге приложения. Это гарантирует, что приложение будет работать только с минимальными необходимыми правами, эффективно предотвращая любые потенциальные угрозы. Сканирование уязвимостей: научитесь интегрировать современный официальный инструмент Docker Scout непосредственно в рабочий процесс сборки. Узнайте, как Docker Scout автоматически генерирует спецификацию программного обеспечения (SBOM) — полный список всех компонентов и библиотек — и использует эти данные для поиска и приоритизации критических и высококритичных CVE (распространённых уязвимостей и рисков) в слоях образа. Экономия ресурсов (многоэтапные сборки): освойте многоэтапные сборки, чтобы значительно сократить размер конечного образа и, следовательно, поверхность атаки. Мы покажем, как использовать этап «сборки» для компиляции (установки крупных инструментов сборки, таких как компиляторы и тестовые фреймворки), а затем перейти к минимальному «финальному» этапу, копируя только необходимые исполняемые файлы и зависимости. Это позволяет исключить ненужные пакеты ОС и инструменты разработки, которые часто являются источниками CVE. К концу этого занятия вы сможете преобразовать любое существующее изображение в шаблон Zero Trust, готовый к строгим проверкам безопасности и защите ваших конфиденциальных данных. Удачного обучения!