云原生架构与 GitOps 实战
王炜
前腾讯云 CODING 架构师
5442 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
课程目录
已完结/共 44 讲
云原生架构与 GitOps 实战
15
15
1.0x
00:00/00:00
登录|注册

28|安全提升:GitOps 在哪些环节需要关注安全问题?

你好,我是王炜。
提到安全,我们可能最常想到的就是业务系统的安全,例如数据库安全、业务逻辑安全、运行环境安全和网络安全等等。
当我们将业务系统迁移到云原生架构下时,这些安全问题仍然是值得关注的。此外,当我们采用 GitOps 时,由于工作流会接触到更多的基础设施,所以必定也会面临更多安全挑战。那么,在这些安全挑战中,我们应该注意哪些方面呢?如何尽可能规避这些安全问题?
这节课,我们就来看看在 GitOps 中有哪些环节是需要格外关注安全问题的,我也会提供相应的建议。根据 GitOps 工作流所涉及到的上下游,我们需要关注以下几个方面:
Docker 镜像
业务依赖
CI 流水线
Docker 镜像仓库
Git 仓库
Kubernetes 集群
云厂商服务
接下来,我们就来看看为什么这几个方面容易出现安全问题。

Docker 镜像

Docker 镜像是产生安全问题的一个重要的源头。通常,使用一些未知的基础镜像是引入安全问题的重要因素。
未知的基础镜像可能会带来几个方面的问题。首先,镜像内包含的系统工具可能因为版本过低存在一些安全漏洞,这可能会导致镜像在被部署后出现安全攻击。其次,在编写 Dockerfile 时,我们一般很少关注运行用户。在默认的情况下,如果使用 root 权限的用户,就会进一步扩大攻击面,如果应用本身比较脆弱,这时候就很容易受到提权攻击。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《云原生架构与 GitOps 实战》
新⼈⾸单¥59
立即购买
登录 后留言

全部留言(2)

  • 最新
  • 精选
  • 俊釆
    方便解释下容器镜像不可变版本么,谢谢🙏

    作者回复: 镜像不可变版本的意思是一旦镜像版本被创建之后,在实践上不应该能覆盖它,比如为每一个 commit id 构建一个镜像。 如果违背了这个原则,就无法知道该镜像版本对应的软件特性,带来管理上的混乱。

    归属地:陕西
    3
  • 郑海成
    第一道防线:鼓励在开发者进行本地代码开发时,使用ide集成的docker插件进行scan和sbom;第二道防线:在CI流水线中集成上面两种step,设定合理的阈值,超过阈值则不进行后续steps,并结合监控系统告警;第三道防线:管理层面要求开发者去优先处理这些高危漏洞

    作者回复: 👍🏻 很好的总结,最好结合 CI 过程把安全问题扼杀在代码发布到生产前。

    归属地:北京
    1
收起评论
显示
设置
留言
2
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部