10 กฎเหล็ก! ใช้ Docker อย่างไรให้ปลอดภัย!

Sreenivas Makam ผู้ดำรงตำแหน่ง Senior Engineering Manager แห่ง Cisco Systems และผู้เป็น Docker Captain ได้เผยแพร่สไลด์ Docker Security Overview เอาไว้ ซึ่งท้ายสไลด์นั้นมีการสรุป 10 แนวทางการใช้งาน Docker อย่างปลอดภัยเอาไว้ด้วย ทางทีมงาน TechTalkThai เห็นว่าเป็นเนื้อหาที่มีประโยชน์ จึงขอนำมาสรุปให้ได้อ่านกันดังนี้ครับ

  1. แยกกลุ่ม Container สำหรับแต่ละ Microservices ออกจากกัน เพื่อให้ขนาดของ Container Image เล็กอยู่เสมอ
  2. อย่าเปิดให้มีการ SSH ตรงเข้าไปยัง Container เด็ดขาด แต่ให้ใช้คำสั่ง docker exec แทน
  3. ใช้ Container Image ที่ได้รับการ Sign แล้ว จะได้มั่นใจว่าปลอดภัยขึ้น
  4. ทำการ Mount Device และ Volume ต่างๆ ในแบบ Read-only เท่านั้น
  5. เรียกใช้งาน Application ด้วยสิทธิ์อื่นๆ ที่ไม่ใช่ Root เท่านั้น แต่หากจำเป็นต้องใช้ Root จริงๆ ก็ให้ใช้แบบจำกัด Operation ที่จะสามารถเรียกใช้ได้ด้วยการใช้ Capabilities, Seccomp, SELinux/AppArmor
  6. หมั่นอัปเดต OS ให้ปลอดภัยอยู่เสมอ และแนะนำให้ใช้ OS ที่ถูกออกแบบมาสำหรับใช้ทำ Container ด้วย เพราะ OS เหล่านี้มักจะมีระบบ Push Update แบบอัตโนมัติมาให้ในตัว
  7. เก็บ Root Key และ Passphrase เอาไว้ในที่ปลอดภัย ห้ามเอาไปใส่ไว้ใน Dockerfile เด็ดขาด โดยหลังจากนี้ Docker มีแผนที่จะพัฒนาระบบจัดการ Key เอาไว้บน Docker Datacenter ให้ได้ใช้กันด้วย
  8. ใช้ Docker Official Image เพราะ Docker เองนั้นจะตรวจสอบทั้งในแง่ของประสิทธิภาพและความปลอดภัยของ Image เหล่านี้อยู่เสมอ
  9. ใช้เครื่องมือ Container Security Scanning เพื่อตรวจสอบหาช่องโหว่ที่อาจปรากฎบนระบบ
  10. ใช้ TLS เพื่อเข้าถึง Docker Daemon จากระยะไกลเสมอ

สำหรับสไลด์ฉบับเต็ม สามารถศึกษาได้จากข้างล่างนี้เลยครับ อ่านสนุกดี มีประเด็นอื่นนอกเหนือจาก 10 ข้อนี้ด้วยเช่นเรื่องของ Namespace


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google เตรียมปิดตัว Hangouts ปลายปีนี้

Google เตรียมปิดตัว Hangouts ปลายปีนี้ ให้ผู้ใช้งานย้ายไปใช้ Google Chat

Microsoft Exchange Server 2013 จะสิ้นสุดการสนับสนุนปี 2023

ช่วงนี้มีแต่ข่าว ลด ละ เลิก บนผลิตภัณฑ์ของ Microsoft ครานี้ถึงชะตาของ Exchange Server 2013 จากการประกาศล่าสุดเกี่ยวกับการสิ้นสุดการสนับสนุนซึ่งแจ้งไว้ล่วงหน้าเกือบปีในวันที่ 11 เมษายน 2023 ซึ่งจะเป็นวันสุดท้าย