Open in app

Sign in

Write

Sign in

Segurança de container — Cadeia de CI/CD

Victor BatistaX
2 min readJul 5, 2023

--

Por que diabos CI/CD, automação e essas parafernalhas. Simples, melhor que fazer o trabalho diario e melhorar o trabalho diario. Se voce automatizar, o processo fica simples, facil de replicar, deixa de ser morroso, e pode ser feito quando quiser. vamos ver mais sobre isso.

Práticas recomendadas de segurança de imagens de containers

  • Crie imagens mínimas (docker-slim)
    — Reduza a área de ataque do container com purpose-built images
    — Reduzir o número de camadas em uma imagem
    — Confira a sessão slim.ai Containers from the Couch
  • Use uma imagem base mínima, como imagens base e distroless
    - Elimine binários que não são necessários em tempo de execução
    - Remover o acesso ao ambiente de shell do container
    - containers efêmeros do Kubernetes pode ajudar
  • Os containers devem ter uma imagem de single-concern e ser self-contained
    - Usar padrões e princípios de design documentados
  • Faça um Lint no seu Dockerfile (dockle, hadolint, etc.)
  • Desfragmente containers (remova SETUID e SETGID em executáveis binários)
  • Realize análise de código estático e teste estático de segurança de aplicativos (SAST)
    - Feito no pipeline de CI antes da criação da imagem do container
  • Não inclua dados confidenciais / credenciais dentro da imagem
  • Siga a metodologia 12-Factor App e não coloque configurações em imagens
  • Monte segredos em memória em tempo de execução.
  • Use tags imutável
  • Faça scan de imagens de container para verificar vulnerabilidade
    — Idealmente integrado ao pipeline de CI/CD antes de enviar imagens para um repositório
    - Geralmente feito como parte do armazenamento/curadoria de imagens no registro de container
  • Assinar imagens de container

Amazon Elastic Container Registry (ECR)

Registro de container totalmente gerenciado, compatível com OCI

  • Imutabilidade da tag
  • Scan de imagens (código aberto Clair ou Inspetor da Amazon)
  • Gerenciamento do ciclo de vida de imagens usando políticas
  • Acessível em endpoints de interface VPC
  • Controle de acesso usando políticas do IAM (Restringir pelo menor privilégio)
  • Replicação entre regiões
  • Use políticas de endpoint e endpoints privados com o ECR

… Continua

Container Images
Security
Aws Ecr

--

--

Victor BatistaX

Written by Victor BatistaX

21 Followers

Computer Scientist | Architect Cloud | AWS Community Builder - Security Topics

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams