Containerisatie is een alternatief voor volledige machinevirtualisatie. Het bestaat uit het inkapselen van de applicatie in een container met een eigen werkomgeving. Containerisatie biedt de voordelen van het uploaden van een applicatie naar een virtuele machine, omdat de applicatie op elke fysieke machine kan worden uitgevoerd zonder zorgen over afhankelijkheden.
Container Security Components
Isolatie. Elke container werkt onafhankelijk van de andere, waardoor mogelijke interferentie of gegevenslekkage tussen containers wordt voorkomen.
Beeldbeveiliging. Containerafbeeldingen worden gecontroleerd en gescand op kwetsbaarheden. Het is belangrijk om geverifieerde afbeeldingen van gerenommeerde bronnen te gebruiken en een regelmatig updateschema bij te houden.
Beveiliging tijdens runtime. De beveiliging van de container omvat de orkestratie van de container en het host OS, Configuratiebeheer, het gebruik van de principes van least privilege en netwerksegmentatie.
Best practices voor containerbeveiliging
Het principe van het minste voorrecht. Containers moeten worden gebruikt met de minimaal mogelijke privileges om hun functies uit te voeren om het potentiële aanvalsoppervlak te verminderen.
Regelmatige updates en fixes. Containers en hun hostsystemen moeten regelmatig worden bijgewerkt om alle bekende kwetsbaarheden te elimineren.
Gebruik van beveiligingsbeleid. De implementatie van beveiligingsbeleid zoals Pod-beveiligingsbeleid in Kubernetes kan de veilige werking van containers garanderen.
Monitoring en logging. Het monitoren van containeractiviteit en logging kan helpen bij het detecteren van anomalieën of potentiële beveiligingsbedreigingen.