开发经验｜Docker安全性的最佳实验

原创

Aion

修改于 2023-11-06 21:53:17

1890

修改于 2023-11-06 21:53:17

不可否认，能生存在互联网上的软件都是相互关联的，当我们开发一款应用程序时，它必须与其他的服务进行通信，无论是在你的基础设施，还是云服务，亦或是第三方应用程序上。当然，你不希望你不认识的人伪装成你，所以在你使用SSH密钥或者接口令牌来确保通信安全时，你必须保密。

不幸的是，有时你的密钥会泄露。当这种情况发生时，它可能会允许不良行为者恶意使用密钥或将其发布在“暗网”上供他人使用。他们可以在您的代码中插入漏洞。他们可以冒充您或拒绝合法用户访问资源。而且，如果秘密是用于可计费的东西（如公共云基础设施），他们会使用各种手段花费您很多钱，最终可能导致信用流失，以至于破产。

例如：

精准钓鱼：邮箱、帐号、密码、IP地址等
高薪诱惑：点击邮件中的链接
威胁恐吓：短信诈骗、邮件诈骗

针对信息安全，我们应该如何防护呢？

首先，使用Docker Hub控制访问

最小权限原则是您的安全状态的一个强大部分。如果有人不需要访问您的Docker Hub映像，他们就不应该有访问权限。Docker Hub提供私有存储库，以便您可以将镜像留给自己。Docker个人订阅者可以创建一个私有存储库，而Docker Pro、Docker Team和Docker Business订阅提供无限的私有存储库。Docker Hub也不用于存储帐户机密，私有存储库是深度防御模型中的一层。

其次，保护密钥

避免意外添加机密的最佳方法是使用机密管理器，例如AWS Secrets Manager，其中包含一些CLI选项。如果您必须将机密保存在本地环境中，您可以通过将文件添加到.dockerignore文件来防止文件意外在图像上结束。例如，如果您担心意外将SSH密钥添加到图像中，您可以包括：*id_rsa*。

这种方法适用于具有可预测名称的文件中的机密。如果您总是将云凭据存储在名为cloud_key.txt的文件中，那么您就得到了很好的保护。但您不会捕获cloud_credentials.txt。

您可以使用秘密扫描仪添加另一层安全性。Aqua Security Trivy工具会在您的文件中搜索看起来像秘密的东西。如果您在推送图像之前运行扫描仪，那么您可以在秘密逃脱之前捕获它。许多秘密扫描仪也可以绑定到Git提交挂钩中，以防止秘密包含在您的代码中。