Best practice per i container

Questa pagina fornisce informazioni sulle best practice per la creazione e l'esecuzione di immagini container.

Creazione di container

L'approccio adottato per la creazione delle immagini container può influire sulla velocità delle build e dei deployment, nonché sullo sforzo necessario per gestire le immagini.

Leggi le best practice di Docker per la creazione di immagini.

Considerazioni sui registri pubblici

Valuta attentamente i seguenti casi:

Utilizzo di immagini provenienti da fonti pubbliche

Quando utilizzi immagini da origini pubbliche come Docker Hub, introduci nella catena di approvvigionamento del software codice che la tua organizzazione non controlla. Per ridurre il rischio, puoi:

  • Crea le tue immagini per controllarne i contenuti.
  • Utilizza un'immagine di base standardizzata e crea un'immagine basata su questa.
  • Analizza le immagini per individuare le vulnerabilità e risolvere le vulnerabilità identificate.
  • Applica standard e criteri alle immagini di cui esegui il deployment.
Rendere pubblici i registri

Puoi rendere pubblico il registry nel tuo progetto Google Cloud concedendo accesso in lettura al bucket di archiviazione del registry all'identità allUsers.

Se tutti i tuoi utenti hanno account Google Cloud, puoi limitare l'accesso agli utenti autenticati con l'identità allAuthenticatedUsers.

Prima di rendere pubblico un registry, tieni presenti le seguenti linee guida:

  • Verifica che tutte le immagini archiviate nel registro siano condivisibili pubblicamente e non espongono credenziali, dati personali o e la riservatezza dei dati.
  • Ti viene addebitato il costo per il traffico di rete in uscita quando gli utenti eseguono il pull delle immagini. Se prevedi un volume elevato di traffico in download da internet, valuta i costi associati.
  • Per impostazione predefinita, i progetti prevedono quote per utente illimitate. Per prevenire comportamenti illeciti, limita la quota per utente entro del progetto.

Rimozione delle immagini inutilizzate

Rimuovi le immagini dei contenitori inutilizzati per ridurre i costi di archiviazione e mitigare i rischi dell'utilizzo di software meno recenti. Esistono diversi strumenti disponibili per aiutarti a svolgere questa attività, tra cui gcr-cleaner. Lo strumento gcr-cleaner non è un prodotto Google ufficiale.

Valutazione della sicurezza dei container

Il Center for Internet Security (CIS) dispone di un benchmark Docker per valutare la sicurezza di un contenitore Docker.

Docker fornisce uno script open source chiamato Docker Bench for Security. Puoi utilizzare lo script per convalidare un container Docker in esecuzione rispetto a CIS Benchmark Docker.

Docker Bench For Security può aiutarti a verificare molti elementi nel benchmark Docker CIS, ma non tutti gli elementi sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host del contenitore è rafforzato o se l'immagine del contenitore include dati personali. Rivedi tutti gli elementi in benchmark e identificare quelli che potrebbero richiedere ulteriori verifiche.

Protezione dei deployment

Scopri come creare una catena di fornitura del software sicura e come utilizzare l'analisi delle vulnerabilità e Autorizzazione binaria su Google Cloud per definire e applicare i criteri per il deployment.

Puoi anche guardare un video che descrive la protezione della catena di fornitura del tuo software.