Nesta página, você encontra informações sobre práticas recomendadas para criar e executar imagens de contêiner.
Como criar contêineres
A abordagem adotada para criar imagens de contêiner pode afetar o velocidade de builds e implantações, bem como o esforço necessário para manter suas imagens.
Leia as práticas recomendadas do Docker para criar imagens.
Considerações sobre registros públicos
Considere cuidadosamente os seguintes casos:
- Usar imagens de fontes públicas
Ao usar imagens de fontes públicas, como o Docker Hub, você introduzir no software códigos que não são controlados pela sua organização na cadeia de suprimentos. Para reduzir o risco, você pode:
- Crie suas próprias imagens para controlar o conteúdo delas.
- Use uma imagem de base padronizada e crie com base nessa imagem.
- Verifique as imagens em busca de vulnerabilidades e resolva as vulnerabilidades identificadas.
- Aplique padrões e políticas nas imagens que você implantar.
- Como tornar seus registros públicos
Para tornar público o registro do seu projeto do Google Cloud, conceda acesso de leitura no bucket de armazenamento do registro à identidade
allUsers
.Se todos os seus usuários tiverem contas do Google Cloud, você poderá limitar o acesso para usuários autenticados com a identidade
allAuthenticatedUsers
.Considere as seguintes diretrizes antes de tornar um registro público:
- Verifique se todas as imagens armazenadas no registro são que podem ser compartilhados publicamente e não expõem credenciais, dados pessoais ou e confidenciais.
- Você será cobrado pela saída de rede quando os usuários extrairem imagens. Se você espera um grande tráfego de download da Internet, considere as APIs custos.
- Por padrão, os projetos têm uma cota ilimitada por usuário. Para evitar abusos, limite a cota por usuário dentro do seu projeto.
Remover imagens não usadas
Remova imagens de contêiner não usadas para reduzir os custos de armazenamento e os riscos de usando softwares mais antigos. Há várias ferramentas disponíveis para ajudar essa tarefa, incluindo gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial do Google.
Como avaliar a segurança do contêiner
O Center for Internet Security (CIS) tem um comparativo de mercado do Docker para avaliar a segurança de um contêiner do Docker.
O Docker fornece um script de código aberto chamado Docker Bench for Security. Você pode usar o script para validar um contêiner do Docker em execução no comparativo de mercado do CIS do Docker.
O Docker Bench For Security pode ajudar você a verificar muitos itens no comparativo de mercado do CIS do Docker, mas nem todos os itens são verificáveis com o script. Por exemplo, o script não pode verificar se o host do contêiner está mais protegido ou se a imagem do contêiner inclui dados pessoais. Analise todos os itens no comparativo de mercado e identifique aqueles que podem precisar de verificação adicional.
Como proteger implantações
Aprenda a criar uma cadeia de suprimentos de software segura e como usar a verificação de vulnerabilidades e a autorização binária no Google Cloud para definir e aplicar políticas para implantação.
Você também pode assistir um vídeo que descreve como proteger sua cadeia de suprimentos de software.