午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、目錄Docker安全掃描工具云虛擬化概述Docker安全特性1243云虛擬化概述云虛擬化定義 云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問,進入可配置的計算資源共享池（資源包括網絡，服務器，存儲，應用程序，服務）CloudComputingVirtualization 虛擬化，一種具體的技術，用來將物理機虛擬成為多個相互獨立的虛擬機。云虛擬化概述主流云平臺目錄Docker安全掃描工具虛擬化概述Docker安全特性1243Docker安全特性Docker概念原理 基于容器技術的輕量級虛擬化解決方案，基于Linux內核的cgroup，namespace，以及AUFS類2、的Union FS等技術,對進程進行封裝隔離Docker安全特性 NameSpace：實現資源隔離 CGroups：實現資源限制Docker安全特性Namespace（命名空間）Linux 內核機制，為實現基于容器的虛擬化技術提供了很好的基礎，容器就是利用這一特性實現了資源的隔離。不同Container內的進程屬于不同的Namespace，彼此透明，互不干擾。CPU、塊設備輸入/輸出信號量、消息隊列、共享內存Docker安全特性CGroups Linux內核工具，可以用來限制、計算、隔離一組進程的資源（CPU、內存、磁盤I/O、網絡等）的使用情況，具體的資源控制器是由subsys完成的，獲取具3、體的subsys信息命令如下Docker安全特性Cgroups舉例 限制容器內磁盤的寫I/O1、docker run時添加參數-device-write-bps lv設備名:1Gb2、直接修改Cgroup里的參數配置文件blkio.throttle.write_bps_device 限制容器內進程數量docker run時添加參數-pids-limit 1024Docker安全特性Seccomp 白名單 Secure computing mode，是Linux內核的安全特性，用來限制操作系統中上層應用程序的各種行為。通過如下命令查看系統內核是否開啟了白名單 如何使用自定義白名單配置文件dock4、er run-security-opt seccomp=/絕對路徑/profile.jsonDocker安全特性SELinuxSELinux，Linux內核工具，提供了支持訪問控制安全策略的機制AppArmorAppArmor，Linux內核安全模塊，通過提供強制訪問控制（MAC），允許系統管理員通過程序配置文件限制程序的功能：1、限制網絡訪問2、限制對配置路徑的讀取、寫入或者執行權限Docker安全特性脆弱性分析1、由于宿主機和容器直接可以共享文件夾，同時不需要限制容器的訪問權限，導致容器輕易的突破資源限制，掛載宿主機任意路徑，修改宿主機文件使用SELinux/AppArmor解決？2、遠程5、訪問docker API的默認方式沒有使用認證，官方建議配置開啟TLS和CA證書認證，使用2376端口訪問3、容器逃逸Docker安全特性鏡像構建時安全性考慮multi-stage build（多階段構建）構造鏡像時，出于安全性考慮，我們希望只是將編譯好的二進制可執行文件放入鏡像中，這時候可以使用docker提供的多階段構建能力目錄Docker安全掃描工具虛擬化概述Docker安全特性1243Docker安全掃描工具（for free）工具ClairAnchoreDockerScanDocker Bench for Security 環境搭建復雜簡單（慢）簡單簡單安裝兼容性差好差好掃描需要先上傳鏡像直接掃描直接掃描直接執行掃描漏洞數據庫CVECVE無無掃描結果漏洞漏洞+其他其他其他報告輸出html報告控制臺報告（有格式排版）控制臺報告（無格式排版）文本報告其他說明通過對容器的layer進行掃描，對鏡像進行特征提取，依據特征匹配CVE漏洞。側重對鏡像的審計，通過對容器的layer進行掃描發現漏洞，基于CVE數據庫。功能強大，其中就包含了DockerScan的功能。提取鏡像中的多種信息，依據這些信息人工判斷該鏡像是否存在安全隱患。本質是一個bash shell腳本，報告需要人工自行檢查 CHINAUNICOM謝 謝