Docker и InSpec: проверка контейнерной инфраструктуры на безопасность
О технологиях

Docker и InSpec: проверка контейнерной инфраструктуры на безопасность

588
0 минут

Cis-docker-benchmark – это ни что иное как профиль соответствия InSpec, который содержит в себе набор тестов для запуска в автоматическом режиме. По итогам тестирования вы получаете детальное описание того, что у вас сделано хорошо, а что требует улучшения.

Для тех, кто еще не знаком с InSpec, скажу лишь, что это очень полезный открытый фреймворк на Ruby со своим декларативным языком, предназначенным для написания правил автоматической проверки вашей инфраструктуры на соответствие чему угодно. В данном конкретном случае это решение применяется для описания набора правил тестирующих вашу контейнерную инфраструктуру на соответствие определенным политикам безопасности.

При помощи InSpec можно тестировать локальный хост, удаленный хост и даже определенный контейнер! Если вам хотелось бы получить больше информации на эту тему, пишите, пожалуйста, в комментариях.

На странице проекта cis-docker-benchmark в GitHub приведены все возможные варианты запуска набора тестов. Наиболее удобный с моей точки зрения — это запуск сразу из локальной директории:


	 git clone https://github.com/dev-sec/cis-docker-benchmark
	 inspec exec cis-docker-benchmark --attrs sample_attributes.yml -t ssh://user@192.168.123.11 --sudo

При таком варианте запуска вы можете поменять необходимые вам атрибуты профиля тестирования, находящиеся в файле cis-docker-benchmark/sample_attributes.yml. Назначение атрибутов для тестирования можно выяснить в описании проекта cis-docker-benchmark на GitHub.

Само собой, перед выполнением вышеуказанных команд у вас должен быть установлен git, Ruby и InSpec.

Лично я сходу обнаружил на своем продуктивном сервере 99 ошибок из набора в 150 запущенных тестов. Пошел исправлять.

P.S. Кстати, автоматические проверки вашей инфраструктуры InSpec-ом могут быть легко встроены в ваши процессы CI/CD. Успехов в работе!

19 июня 2023
Семь трендов на рынке облачных услуг в 2023 году
До 2022 года на рынке облаков в России главенствовали мировые тренды, но сейчас наша страна пошла своим путем. О том, для чего сейчас компании используют облачные технологии и как меняется рынок, рассказал директор бизнес-юнита K2 Cloud Сергей Зинкевич.
1 минута
734
29 марта 2023
Сетевые балансировщики нагрузки и другие обновления К2 Облака

Мы рады вам представить новый сервис K2 Облака для распределения трафика между экземплярами – Балансировщики нагрузки. Кроме того, мы автоматизировали обновление сертификатов Kubernetes и добавили возможность удаления рабочих узлов из кластера Kubernetes.

2 минуты
226
12 января 2023
Российский Kubernetes, какой он? Знакомьтесь, платформа Deckhouse

Если бизнес работает в цифре, строит свои решения на базе микросервисной архитектуры и контейнеров и до последнего времени использовал для этого западную платформу контейнеризации, то актуальная задача сегодня — найти ей адекватную замену.

2 минуты
1104
26 декабря 2022
Что выгоднее — использовать готовую платформу для управления контейнерами или разрабатывать своими силами?
Совсем недавно мы провели опрос среди ИТ-руководителей, чтобы выяснить, насколько они знакомы с технологией Kubernetes и используют ли ее в ИТ-инфраструктуре своей компании, личных проектах и т.д. Результаты показали, что 63% опрошенных уже работает с Kubernetes прямо сейчас, 23% пока не дошли и 14% участников планируют в ближайшее время.
1 минута
408
15 ноября 2022
OpenShift остался без поддержки – как решить проблему российским клиентам
Интерес к семейству ПО для контейнеризации OpenShift был довольно высоким в корпоративном сегменте в прежние годы. По данным мониторинговой службы Datadog, только за прошлый год во всем мире количество пользователей платформ от RedHat увеличилось на 28%. Весной IBM объявил об уходе из России и прекращении поддержки всех программных продуктов для текущих клиентов. Разберемся, насколько критичной оказалась данная ситуация для заказчиков, и какие варианты действий существуют, чтобы минимизировать возможные риски отключения от сервиса.
0 минут
530
scrollup