如何在构建阶段保护镜像安全

最新推荐文章于 2024-07-08 12:09:43 发布
最新推荐文章于 2024-07-08 12:09:43 发布
阅读量968 收藏
点赞数
文章标签: 安全 jenkins 运维 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742792/article/details/125917346
版权

首先,可以参考以下这篇文章,在构建命令的时候多加注意,避免触及安全边界:云原生时代下的容器镜像安全(上)

接下来,我们可以通过已有的镜像安全检测工具,对早已存在的镜像进行安全扫描,并对当前正在构建的镜像设置阻断规则,将安全防护前移至 CI/CD 阶段,当前市面上已知的镜像检测工具有:trivy、anchor、veinmind等,我只试用了veinmind,所以详细描述一下veinmind的试用过程:

首先 veinmind 支持检测镜像内的恶意文件、敏感信息、弱口令、后门、异常历史命令,支持镜像资产清点,支持集成到 CI/CD 进行检测,支持镜像阻断,支持使用 helm 安装部署。

集成到 Jenkins:

问脉镜像安全扫描开源工具之集成 jenkins 配置

问脉镜像安全扫描开源工具之集成 jenkins 演示

集成到 Gitlab:

问脉镜像安全扫描开源工具之集成gitlab演示

设置阻断规则进行镜像阻断:

镜像阻断

详细记录一下 docker 镜像阻断功能:

# first
./veinmind-runner authz -c config.toml 
# second
dockerd --authorization-plugin=veinmind-broker

其中config.toml,包含如下字段

字段名字段属性含义
policyactionstring需要监控的行为
enabled_plugins[]string使用哪些插件
plugin_params[]string各个插件的参数
risk_level_filter[]string风险等级
blockbool是否阻断
alertbool是否报警
logreport_log_pathstring插件扫描日志
authz_log_pathstring阻断服务日志

action 原则上支持 DockerAPI 所提供的操作接口
如下的配置表示:当 创建容器或推送镜像 时,使用 veinmind-weakpass 插件扫描ssh服务,如果发现有弱密码存在,并且风险等级为 High 则阻止此操作,并发出警告。最终将扫描结果存放至plugin.log,将风险结果存放至auth.log。

[log]
plugin_log_path = "plugin.log"
auth_log_path = "auth.log"
[listener]
listener_addr = "/run/docker/plugins/veinmind-broker.sock"
[[policies]]
action = "container_create"
enabled_plugins = ["veinmind-weakpass"]
plugin_paramas = ["veinmind-weakpass:scan.serviceName=ssh"]
risk_level_filter = ["High"]
block = true
alert = true
[[policies]]
action = "image_push"
enabled_plugins = ["veinmind-weakpass"]
plugin_params = ["veinmind-weakpass:scan.serviceName=ssh"]
risk_level_filter = ["High"]
block = true
alert = true

项目地址:https://github.com/chaitin/veinmind-tools
使用文档:https://veinmind.chaitin.com/docs/

问脉团队·VeinMind
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
协议分析之TCP旁路阻断
pluton的专栏
08-16 1万+
一、阻断未建立起来的连接      我们知道TCP的建立要经过3次握手,假设客户端C向服务器S请求连接      1、C发送带有SEQ_C(随机)初始序列号的SYN报文给S      2、S回复带有SEQ_S(随机)初始序列号和确认序列号ACK_S(必须是SEQ_C+1)的SYN报文给C      3、C回复确认序列号ACK_C(取值为SEQ_S)给S      整个过程如果正确的话,连接将会建立。      通常需要进行阻断的情况是审计控制系统旁路监听内网。旁路监听的方式一般是将主交换机的数据镜像到控制系
服务器虚拟化在校园中的构建.docx
06-08
管理程序平台具有管理程序服务器的模板,管理员可以在控制台内配置安全构建,还可实现内存、网络控制以及本地安全设置等功能。定义了安全构建,就可扫描其他系统,并与这个标准进行比较,从而生成对审核者有帮助的...
容器镜像安全概述
omnispace的博客
03-31 1884
微服务架构的兴起,容器化部署已经成为时下最流行的生产方式,越来越多的公司将应用部署在基于容器的架构上。自然的,随着容器的广泛使用,容器的安全性就成为了业界关注的焦点,容器安全厂商如雨后春笋般相继成立,如:CoreOSClair、AquaSecurity、Twistlock、Anchore等等。容器是基于镜像构建的,如果镜像本身就是一个恶意镜像或是一个存在漏洞的镜像,那么基于它搭建的容器自然就是不安...
如何检查 Docker 镜像是否存在漏洞_docker1,还在等机会
2401_84411593的博客
04-18 1010
有一天,我在扫描我的 Docker 镜像时,发现里面居然有一份已经过期的牛奶!于是,我开始调查这个问题,最终发现是我的同事偷偷地在我的 Docker 镜像里面存放了牛奶。于是,他决定寻找一种更加高效的方法。最终,他发现了一个叫做“Clair”的工具,它可以自动扫描 Docker 镜像中的漏洞,并生成报告。所以,如果你也想成为一名 Docker 镜像的专家,那么就一定要学会手动检查 Docker 镜像以确保它们没有安全问题。但是,别担心,使用 Docker 镜像扫描工具可以帮你找到这些问题,并解决它们。
docker安全
weixin_34346099的博客
10-31 475
作者介绍林伟壕,SecDevOpsor,先后在中国电信和网易游戏从事数据网络、网络安全和游戏运维工作。对Linux运维、虚拟化和网络安全防护等研究颇多,目前专注于网络安全自动化检测、防御系统构建。 在之前的文章《从自身漏洞与架构缺陷,谈Docker安全建设》中,我们介绍了Docker存在的安全问题、整套Docker应用架构的安全基线以及安全规则,重头戏是Docker安全规则的各种思路和方案。 本文...
Docker安全工具Clair/Anchore/DockerScan对比测试
武天旭的博客
12-17 7921
一、对比结论 本次对主流的Docker安全自动化扫描工具进行了测试比较,测试比较结果如下表所示: 工具 Clair Anchore DockerScan 工具 Clair Anchore DockerScan 环境搭建 复杂 简单(慢) 简单 安装兼容性 差 好 差 扫描 需要先上传镜像 直接扫描 直接扫描
构建Java镜像的10个最佳实践
热门推荐
琦彦
03-27 1万+
原文发表于kubernetes中文社区,为作者原创翻译,原文地址 更多kubernetes文章,请多关注kubernetes中文社区 目录 构建一个简单的Java容器镜像 1.Docker镜像使用确定性的标签 2.在Java镜像中仅安装需要的内容 3. 查找并修复Java镜像中的安全漏洞 4.使用多阶段构建Java镜像 防止敏感信息泄漏 5.不要以Root用户运行容器 6.Java应用程序不要使用PID为1的进程 7.优雅下线Java应用程序 8.使用 .dockerignor..
通过Dockerfile构建Docker镜像
RtxTitanV的博客
05-24 1573
Dockerfile是Docker用来构建镜像的文本文件,包含自定义的指令和格式。可以通过docker build命令利用Dockerfile构建镜像Dockerfile提供了一系列统一的资源配置语法指令,开发人员可以根据需求定制Dockerfile,然后使用这份Dockerfile文件进行自动化镜像构建,简化了构建镜像的复杂过程,同时Dockerfile与镜像配合使用,使Docker构建时可以充分利用镜像的功能进行缓存,大大提升了Docker的使用效率。
网络安全技术在公路虚拟化建设中的应用.pdf
09-19
网络安全在这个过程中扮演着至关重要的角色,因为“没有网络安全就没有国家安全”。本文以南通市公路事业发展中心为例,探讨了网络安全技术在公路虚拟化建设中的应用。 公路行业数据经历了孕育、幼年、青年、成年和...
万能镜像系统 v6.21.rar
03-27
《万能镜像系统 v6.21:构建与应用详解》 万能镜像系统 v6.21 是一款集成了多种功能的软件工具,主要用于计算机系统的快速部署和管理。该系统通常包含源码源代码,使得用户可以根据自身需求进行定制化开发,尤其...
虚拟化安全论文
09-12
容器隔离、镜像安全、网络策略和容器编排平台的安全性都是需要考虑的重点。 8. **安全设计与架构**:从设计阶段就考虑安全,采用微服务、安全设计模式和零信任架构等方法,能够减少潜在的攻击面,提高虚拟化环境的...
chain:https的镜像
05-05
网络物理链 借助区块链走向可信赖的未来。 物联网对人类社会产生了前所未有的深远影响。 但是,在没有信任的情况下,它不过是一座建在... 在准备阶段,委员会成员的负责人构建一个区块,并向委员会中的所有成员广播
构建安全稳定的应用:SpringSecurity实用指南
zhugedali_的博客
07-04 713
它涵盖了认证(Authentication)、授权(Authorization)、防止常见的安全攻击等多个方面,适用于各种类型的应用,包括 Web 应用、RESTful 服务、微服务等。- 生成认证对象:认证成功后,创建包含用户信息、角色和权限的 Authentication 对象,并存储在安全上下文中。- 加载用户角色和权限:除了基本的用户信息,还包括用户所拥有的角色和权限。- 认证请求处理:根据配置的认证方式,对用户提交的认证信息进行验证。
【易捷海购-注册安全分析报告】
weixin_46641057的博客
07-05 1217
易捷国际作为中石化易捷旗下专业跨境电商平台,大概是因为和阿里有战略合作层面的关系, 所以在选的不是常见的类似极验、腾讯等滑动拼图类产品, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 910
然后这一步,你看,这里有个决策点
[终端安全]-5 移动终端之操作系统安全
最新发布
wendywm0496的博客
07-08 777
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
[图解]SysML和EA建模住宅安全系统-11-接口块
rolt的专栏
07-06 934
当然内部块图里面肯定要比这个丰富
怎么在dockerfile上构建redis镜像
03-29
要在Dockerfile上构建Redis镜像,请按以下步骤操作: 1. 创建一个文件夹,用于存储Dockerfile和Redis配置文件。 2. 创建Dockerfile并输入以下代码: ``` # 使用官方Redis镜像作为基础镜像 FROM redis:latest # ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值