Sécurité d’un container

Nous sommes amenés à réaliser des études d’architecture incluant le volet sécurité sur des infrastructures PaaS privées ou publiques, à base de containers (ou conteneurs) Docker.

De par nos expériences, nous avons établi une liste de points d’attention que nous partageons avec nos lecteurs :

  • Confiance dans le Repository d’image de containers (tels que AWS ECS ou DockerHub)
  • Sécurité de l’image (configuration et version des composants applicatifs notamment, mais aussi gestion des secrec)
  • Gestion des moindres privilèges pour l’exécution du container (via les options –cap-drop)
  • Durcissement du Host et du moteur Docker, et de l’orchestrateur le cas échéant (Swarm ou Kubernetes sont les options les plus courantes en cloud privés, avec parfois des surcouches tel que Rancher)
  • Mise en place de quota d’utilisation de ressources du container (typiquement mémoire et CPU)
  • Cloisonnement réseau (Micro-Segmentation par filtrage niveau 3, 4 et même au niveau URI HTTP avec les drivers réseaux CNI tels que Cilium)
  • Génération et centralisation d’une piste d’audit (riche et pertinente)

N’hésitez pas à nous faire vos remarques dans les commentaires ou nous contacter si vous souhaitez plus de détails ou de l’accompagnement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.