Prácticas recomendadas para contenedores

En esta página, se proporciona información sobre las prácticas recomendadas para compilar y ejecutar las imágenes de contenedores.

Compila contenedores

El enfoque que adoptes para compilar imágenes de contenedor puede afectar la velocidad de las compilaciones y las implementaciones, así como el esfuerzo necesario para mantener tus imágenes.

Lee las prácticas recomendadas de Docker para compilar imágenes.

Consideraciones para los registros públicos

Considera con detenimiento los siguientes casos:

Usa imágenes de fuentes públicas

Cuando usas imágenes de fuentes públicas, como Docker Hub, estás insertando código que tu organización no controla en tu cadena de suministro de software. Para mitigar el riesgo, puedes hacer lo siguiente:

  • Compila tus propias imágenes para controlar el contenido de las imágenes.
  • Usa una imagen base estandarizada y compila sobre ella.
  • Analizar las imágenes en busca de vulnerabilidades y abordar las vulnerabilidades identificadas
  • Aplica estándares y políticas en las imágenes que implementes.
Cómo hacer públicos tus registros

Para que el registro de tu proyecto de Google Cloud sea público, otorga acceso de lectura en el bucket de almacenamiento del registro a la identidad allUsers.

Si todos tus usuarios tienen cuentas de Google Cloud, puedes limitar el acceso a los usuarios autenticados con la identidad allAuthenticatedUsers.

Ten en cuenta los siguientes lineamientos antes de hacer público un registro:

  • Verifica que todas las imágenes que almacenes en el registro se puedan compartir de forma pública y no expongan credenciales, datos personales ni confidenciales.
  • Se te cobrará por la salida de red cuando los usuarios extraigan imágenes. Si esperas mucho tráfico de descargas de Internet, considera de los costos.
  • De forma predeterminada, los proyectos tienen una cuota por usuario ilimitada. Para evitar abusos, limita la cuota por usuario en tu proyecto.

Cómo quitar imágenes que no se usan

Quita las imágenes de contenedores que no se usan para reducir los costos de almacenamiento y mitigar los riesgos de usar software más antiguo. Existen varias herramientas disponibles para ayudarte con esta tarea, como gcr-cleaner. La herramienta gcr-cleaner no es un producto oficial de Google.

Evalúa la seguridad de los contenedores

El Centro para la seguridad en Internet (CIS) tiene una referencia de Docker para evaluar la seguridad de un contenedor de Docker.

Docker proporciona una secuencia de comandos de código abierto llamada Docker Bench for Security. Puedes usar la secuencia de comandos para validar un contenedor de Docker en ejecución en relación con la referencia de Docker de CIS.

Docker Bench for Security puede ayudarte a verificar muchos elementos en la referencia de Docker de CIS, pero no todos los elementos se pueden verificar con la secuencia de comandos. Por ejemplo, la secuencia de comandos no puede verificar si el host del contenedor está endurecido o si la imagen del contenedor incluye datos personales. Revisa todos los elementos de la referencia y también identifica aquellos que podrían necesitar una verificación adicional.

Protege las implementaciones

Obtén información para crear una cadena de suministro de software seguro y cómo usar el análisis de vulnerabilidades y la autorización binaria en Google Cloud para definir y aplicar políticas para la implementación.

También puedes mirar un video sobre cómo proteger tu cadena de suministro de software.