Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza del runtime
La sicurezza runtime fornisce una protezione attiva per i container mentre sono in esecuzione. L'idea è quella di rilevare e prevenire attività dannose che si verifichino i tuoi contenitori.
Con elaborazione sicura (seccomp) è possibile impedire a un'applicazione containerizzata di effettuare determinati syscalls al kernel del sistema operativo host sottostante. Mentre il sistema operativo Linux ha poche centinaia di chiamate di sistema, la maggior parte di esse non sono necessarie per l'esecuzione di contenitori. Limitando quali syscall possono essere create da un contenitore, è possibile ridurre efficacemente la superficie di attacco dell'applicazione.
Per iniziare con seccomp, puoi usarestraceper generare una traccia dello stack per vedere quali chiamate di sistema sta facendo l'applicazione. Puoi anche utilizzare uno strumento qualesyscall2seccompper creare un profilo seccomp dai dati raccolti dalla traccia dello stack. Per ulteriori informazioni, consultastrace
A differenza del modulo di sicurezza SELinux, seccomp non può isolare i contenitori l'uno dall'altro. Tuttavia, protegge il kernel host da syscall non autorizzati. Funziona intercettando syscalls e permettendo solo a quelli che sono stati elencati di passare attraverso. Docker hapredefinito
Nota
È inoltre possibile creare profili personalizzati per gli elementi che richiedono ulteriori privilegi.
AppArmor è un modulo di sicurezza Linux simile a seccomp, ma limita le capacità di un contenitore incluso l'accesso a parti del file system. Può essere eseguito inenforcementocomplainModalità. Dato che la creazione di profili AppArmor può essere difficile, consigliamo di utilizzare uno strumento comebane
Importante
AppArmor è disponibile solo per le distribuzioni Ubuntu e Debian di Linux.
Recommendations
Si consiglia di eseguire le azioni folowing durante la configurazione della sicurezza runtime.
Utilizzare una soluzione di terza parte per la difesa del runtime
Utilizzare una soluzione di terza parte per la difesa runtime. Se hai familiarità con il funzionamento della sicurezza Linux, crea e gestisci profili seccomp e AppArmor. Entrambi sono progetti open source. In caso contrario, è consigliabile utilizzare un servizio di terze parti diverso. La maggior parte utilizza l'apprendimento automatico per bloccare o segnalare attività sospette. Per un elenco delle soluzioni di terze parti disponibili, vedereMarketplace AWSPer Container
Aggiungere o rimuovere le funzionalità Linux utilizzando i criteri seccomp
Usa seccomp per avere un maggiore controllo sulle funzionalità Linux ed evitare errori di controllo syscall. Seccomp funziona come filtro syscall che revoca l'autorizzazione per eseguire determinati syscall o per utilizzare agruments specifici.
