Docker敏感信息怎么防止泄露

发布时间:2021-11-30 11:34:06 作者:iii
来源:亿速云 阅读:336

这篇文章主要介绍“Docker敏感信息怎么防止泄露”,在日常操作中,相信很多人在Docker敏感信息怎么防止泄露问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”Docker敏感信息怎么防止泄露”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

概述

容器和Docker让我们的日常更加便捷,但是同时也会很容易将一些信息不小心泄露给公众造成安全问题。密码,云凭证和SSH私钥,如果配置不当,一不小心就会泄露。除非建立一套安全事件策略,综合防护,一些案例:

Codecov供应链攻击:

2021年4月1日,由于Codecov一个Docker文件配置失误,攻击者可以窃取凭据并修改客户使用的Bash  Uploader脚本。通过恶意代码修改Bash  Uploaders,并将环境变量和从一些客户的CI/CD环境中收集的密钥泄露给了一个受攻击者控制的服务器

Docker敏感信息怎么防止泄露

受到该事件影响,HashiCorp用于发布签名和验证的GPG密钥被泄露,目前已经采用轮换机制定期更换私钥。

其他由于Docker Hub公共镜像导致的泄露还包括(不限于):

AWS账户和凭据,SSH私钥,Azure密钥,.npmrc令牌,Docker  Hub账户,PyPI存储库密钥,SMTP服务器认证信息,eCAPTCHA密码,Twitter  API密钥,Jira密钥,Slack密钥以及其他一些密钥等。

COPY方法

DockerFile语法中常见的一个COPY方法:

FROM debian:buster COPY . /app

默认情况下,该语句会将当前目录中所有内容的复制到镜像中。这些内容中可能会包含敏感信息的文件:例如站点.env。

一旦敏感信息,被放到Docker镜像中,则任何可以访问该镜像的用户都可以看到这些信息。为了防止由于COPY导致的敏感信息泄露:

镜像编译

有时需要在构建Docker镜像时使用机密,例如访问私有软件包存储库的密码。

FROM python:3.9 RUN pip install \ --extra-index-url User:pass@priveapk.example \ package privatepackage

直接在URL包含了用户名和密码会直接导致其泄露。可以使用环境变量形式来应用:

export MYSECRET=secretpassword export DOCKER_BUILDKIT=1 docker build --secret --secret id=mysecret,env=MYSECRET .

运行时

有些密码是需要在容器运行时候需要访问的,比如访问数据库的凭据。同样的运行时机密也不能直接存储在镜像中。

除了镜像内容导致意外泄露,这种存储在镜像中的配置也绑定了环境,不便于镜像灵活运行。在运行容器时可以通过多种方法将机密传递给容器:

通过以上这些机制,可以避免运行时敏感信息存储在镜像本身中。

安全扫描

除了上面一些管理方面策略外,还有一个主动方法就是自动地进行安全扫描。市面上有很多密码扫描工具,可以扫描目录或者Git仓库,如果包含敏感信息则会直接告警。比如detect-secrets,trufflehog

Docker敏感信息怎么防止泄露

也有对镜像扫描的工具,比如pentester可以扫描Docker Hub镜像,发现问题。

Docker敏感信息怎么防止泄露

到此,关于“Docker敏感信息怎么防止泄露”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!

推荐阅读:
  1. DotNet隐藏敏感信息操作方法
  2. 怎么在Golang中防止 goroutine 泄露

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

docker

上一篇:php的soap方法怎么调用

下一篇:C/C++ Qt TreeWidget单层树形组件怎么应用

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》