04 Cumplimiento y Buenas prácticas de docker
Cumplimiento y Buenas prácticas
Table of Contents
El material de este ejercicio se realiza en la carpeta 4
Comprobaciones de cumplimiento: Existen algunos estándares importantes de la industria como CIS Docker. Validaremos contenedores contra estos estándares, para asegurarnos de que estamos siguiendo las mejores prácticas.
Docker-Bench
https://github.com/docker/docker-bench-security
Docker Bench for Security es un script que busca docenas de best practices comunes para implementar contenedores Docker en producción.
En la carpeta ver script docker-bench.sh y ejecutarlo
| docker run –rm –net host –pid host –userns host –cap-add audit_control \ -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \ -v /etc:/etc:ro \ -v /lib/systemd/system:/lib/systemd/system:ro \ -v /usr/bin/containerd:/usr/bin/containerd:ro \ -v /usr/bin/runc:/usr/bin/runc:ro \ -v /usr/lib/systemd:/usr/lib/systemd:ro \ -v /var/lib:/var/lib:ro \ -v /var/run/docker.sock:/var/run/docker.sock:ro \ –label docker_bench_security \ docker/docker-bench-security |
¿Que aprendemos de la información que nos suministra docker-bench?¿Tenemos algún crítical?
Checkov:
Checkov es una herramienta que escanea las configuraciones de Docker y Kubernetes en busca de problemas de seguridad y violaciones de cumplimiento.
Validamos a Dockerfile:
| checkov -f Dockerfile |
Validamos un Helm chart:
| checkov -d jenkins |
¿Podríamos desplegar el contenedor o el Helm en producción?
SecretScanner
https://github.com/deepfence/SecretScanner
Encuentre secretos y contraseñas en imágenes de contenedores y sistemas de archivos
Vamos a analizar una de las imagenes que ya hemos generado:
| docker run -it –rm –name=deepfence-secretscanner -v $(pwd):/home/deepfence/output -v /var/run/docker.sock:/var/run/docker.sock deepfenceio/deepfence_secret_scanner:latest -image-name demo:01 |