Bonnes pratiques pour les conteneurs

Cette page présente les bonnes pratiques à suivre pour créer et exécuter des images de conteneurs.

Créer des conteneurs

L'approche que vous adoptez pour créer des images de conteneurs peut avoir un impact la vitesse de compilation et de déploiement, ainsi que les efforts nécessaires à la gestion vos images.

Consultez les bonnes pratiques Docker pour créer des images.

Éléments à prendre en compte pour les registres publics

Réfléchissez attentivement aux cas suivants :

Utiliser des images provenant de sources publiques

Lorsque vous utilisez des images provenant de sources publiques telles que Docker Hub, introduire dans votre logiciel du code que votre organisation ne contrôle pas. d'approvisionnement. Pour limiter les risques, vous pouvez:

  • Créez vos propres images pour contrôler leur contenu.
  • Utilisez une image de base standardisée et créez-y votre application.
  • Analysez les images pour détecter les failles et corrigez-les.
  • Appliquez des normes et des règles aux images que vous déployez.
Rendre vos registres publics

Vous pouvez rendre public le registre de votre projet Google Cloud en accordant un accès en lecture à l'identité allUsers sur le bucket de stockage du registre.

Si tous vos utilisateurs disposent de comptes Google Cloud, vous pouvez limiter l'accès aux utilisateurs authentifiés avec l'identité allAuthenticatedUsers.

Tenez compte des consignes suivantes avant de rendre un registre public :

  • Vérifiez que toutes les images que vous stockez dans le registre peuvent être partagées publiquement, et ne divulguent pas les identifiants, les données à caractère personnel des données confidentielles.
  • Des frais de sortie réseau vous sont facturés lorsque les utilisateurs extraient des images. Si vous prévoyez un trafic de téléchargement Internet important, tenez compte des coûts associés.
  • Par défaut, les projets disposent d'un quota illimité par utilisateur. Pour éviter toute utilisation abusive, limite le quota par utilisateur dans votre projet.

Supprimer les images inutilisées

Supprimez les images de conteneurs inutilisées pour réduire les coûts de stockage et limiter les risques liés aux à l'aide d'anciens logiciels. Plusieurs outils sont disponibles pour vous aider à accomplir cette tâche, y compris gcr-cleaner. L'outil gcr-cleaner n'est pas un produit Google officiel.

Évaluer la sécurité des conteneurs

Le CIS (Center for Internet Security) dispose d'un benchmark Docker permettant d'évaluer la sécurité d'un conteneur Docker.

Docker fournit un script Open Source appelé Docker Bench for Security. Vous pouvez exécuter ce script pour vérifier qu'un conteneur Docker en cours d'exécution respecte certains critères du benchmark Docker du CIS.

Le script Docker Bench for Security vous permet de vérifier de nombreux éléments dans le benchmark Docker du CIS. Cependant, tous les éléments ne sont pas vérifiables avec le script. Par exemple, le script ne peut pas vérifier si l'hôte du conteneur est renforcé ou si l'image du conteneur inclut des données à caractère personnel. Examinez tous les éléments du benchmark et identifiez ceux qui peuvent nécessiter une validation supplémentaire.

Sécuriser les déploiements

Découvrez comment créer une chaîne d'approvisionnement logicielle sécurisée et comment utiliser l'analyse des failles et l'autorisation binaire sur Google Cloud pour définir et appliquer des règles de déploiement.

Vous pouvez également regarder une vidéo qui décrit comment sécuriser votre chaîne d'approvisionnement logicielle.