Docker и InSpec: проверка контейнерной инфраструктуры на безопасность
О технологиях

Docker и InSpec: проверка контейнерной инфраструктуры на безопасность

3355
2 минуты

Cis-docker-benchmark – это ни что иное как профиль соответствия InSpec, который содержит в себе набор тестов для запуска в автоматическом режиме. По итогам тестирования вы получаете детальное описание того, что у вас сделано хорошо, а что требует улучшения.

Для тех, кто еще не знаком с InSpec, скажу лишь, что это очень полезный открытый фреймворк на Ruby со своим декларативным языком, предназначенным для написания правил автоматической проверки вашей инфраструктуры на соответствие чему угодно. В данном конкретном случае это решение применяется для описания набора правил тестирующих вашу контейнерную инфраструктуру на соответствие определенным политикам безопасности.

При помощи InSpec можно тестировать локальный хост, удаленный хост и даже определенный контейнер! Если вам хотелось бы получить больше информации на эту тему, пишите, пожалуйста, в комментариях.

На странице проекта cis-docker-benchmark в GitHub приведены все возможные варианты запуска набора тестов. Наиболее удобный с моей точки зрения — это запуск сразу из локальной директории:


	 git clone https://github.com/dev-sec/cis-docker-benchmark
	 inspec exec cis-docker-benchmark --attrs sample_attributes.yml -t ssh://user@192.168.123.11 --sudo

При таком варианте запуска вы можете поменять необходимые вам атрибуты профиля тестирования, находящиеся в файле cis-docker-benchmark/sample_attributes.yml. Назначение атрибутов для тестирования можно выяснить в описании проекта cis-docker-benchmark на GitHub.

Само собой, перед выполнением вышеуказанных команд у вас должен быть установлен git, Ruby и InSpec.

Лично я сходу обнаружил на своем продуктивном сервере 99 ошибок из набора в 150 запущенных тестов. Пошел исправлять.

P.S. Кстати, автоматические проверки вашей инфраструктуры InSpec-ом могут быть легко встроены в ваши процессы CI/CD. Успехов в работе!

19 октября 2023
Контейнеры: технологии и процессы глазами разработчика

В выпуске#9 видеоподкаста «Откровенно об ИТ-инфраструктуре» поговорили о роли контейнеров в разработке. Приглашенные эксперты обсудили специфику использования Kubernetes и сокращение time-to-market в контексте контейнеризации.

В гостях Михаил Гудов, Orion soft, и Василий Колосов, Smartex.
1 минута
779
19 июня 2023
Семь трендов на рынке облачных услуг в 2023 году
До 2022 года на рынке облаков в России главенствовали мировые тренды, но сейчас наша страна пошла своим путем. О том, для чего сейчас компании используют облачные технологии и как меняется рынок, рассказал директор по развитию КРОК Облачные сервисы Сергей Зинкевич.
1 минута
2181
16 июня 2023
Рулевой в океане контейнеров
Выпуск#3 видеоподкаста «Откровенно об ИТ-инфраструктуре» посвящен Kubernetes и профессиональным платформам оркестрации контейнеров. Обсудили, как сегодня складывается ситуация на российском рынке контейнерных платформ, что востребовано и почему, особенности и перспективы работы с Kubernetes.

В гостях Александр Баталов, Генеральный директор Флант
1 минута
1505
29 марта 2023
Сетевые балансировщики нагрузки и другие обновления Облака КРОК

Мы рады вам представить новый сервис Облака КРОК для распределения трафика между экземплярами – Балансировщики нагрузки. Кроме того, мы автоматизировали обновление сертификатов Kubernetes и добавили возможность удаления рабочих узлов из кластера Kubernetes.

2 минуты
916
15 ноября 2022
OpenShift остался без поддержки – как решить проблему российским клиентам
Интерес к семейству ПО для контейнеризации OpenShift был довольно высоким в корпоративном сегменте в прежние годы. По данным мониторинговой службы Datadog, только за прошлый год во всем мире количество пользователей платформ от RedHat увеличилось на 28%. Весной IBM объявил об уходе из России и прекращении поддержки всех программных продуктов для текущих клиентов. Разберемся, насколько критичной оказалась данная ситуация для заказчиков, и какие варианты действий существуют, чтобы минимизировать возможные риски отключения от сервиса.
1 минута
1028
scrollup