Docker 部署的好處是顯而易見的,但對 Docker 主機作業系統 (OS) 本身的重大攻擊面也存在擔憂。像任何設計良好的軟體部署一樣,OS 強化和使用最佳實踐,例如
Internet Security (CIS) Docker 基準,提供了一個堅實的基礎作為起點。一旦您有了一個安全的基礎,將 Server & Workload Security保護 添加到您的部署中,您將能夠利用趨勢科技在保護實體、虛擬和雲端工作負載方面的豐富經驗,以及來自 趨勢科技主動雲端截毒技術 的實時安全威脅資訊。Server & Workload Security保護 不僅保護您的部署,還有助於滿足和維持持續的合規要求。請參閱 Docker 技術支援中心 以獲取有關支援的 Docker 版本和發行版的資訊。
Server & Workload Security保護 保護您在 Linux 發行版上運行的 Docker 主機和容器。Server & Workload Security保護 可以執行以下操作:
- 透過使用徽章和智慧資料夾來識別、查找和保護您部署中的 Docker 主機
- 保護 Docker 主機和容器免受弱點影響,通過虛擬修補新發現的弱點來防止已知和零日漏洞的利用
- 為 Docker 主機和容器內使用的檔案系統提供即時惡意程式防護偵測
- 使用以下技術來驗證 Docker 主機的完整性,以確保持續合規並保護您的部署:
- 防止在 Docker 主機上未經授權的應用程式執行,幫助您控制允許運行的應用程式,除了 Docker 守護進程之外
- 監控 Docker 主機是否有系統檔案的意外變更
- 通知您操作系統日誌中的可疑事件
 |
注意Server & Workload Security保護 Docker 保護在作業系統層級運作。這意味著代理程式必須安裝在 Docker 主機的作業系統上,而不是容器內。
|
|
注意不支援 Pod 中容器之間的通訊。
|
Server & Workload Security保護 支援在使用疊加網路時的 Docker swarm 模式。
Server & Workload Security保護 保護 Docker 主機
以下Server & Workload Security保護模組可用於保護 Docker 主機:
- 入侵防護 (IPS)
- 惡意程式防護
- 完整性監控
- 日誌檢查
- Application Control
- 防火牆
- 網頁信譽評等
Server & Workload Security保護 保護 Docker 容器
以下Server & Workload Security保護模組可用於保護 Docker 容器:
- 入侵防護
- 惡意程式防護
入侵防護建議掃描的限制
雖然 Server & Workload Security保護 入侵防護控制在主機層級運作,但它也保護暴露的容器埠號上的容器流量。由於 Docker 允許多個應用程式在同一個 Docker 主機上運行,因此單一的入侵防護政策適用於所有
Docker 應用程式。這意味著在 Docker 部署中不應依賴建議掃描。