Docker и InSpec: проверка контейнерной инфраструктуры на безопасность
Запросить демо
Я подтверждаю свое согласие на обработку компанией КРОК моих персональных данных, указанных в форме, в целях и пределах, установленных законодательством РФ о персональных данных в рамках проводимых мероприятий в течение неопределенного срока
Предпочтительный способ связи
Оставить заявку
Я подтверждаю свое согласие на обработку компанией КРОК моих персональных данных, указанных в форме, в целях и пределах, установленных законодательством РФ о персональных данных в рамках проводимых мероприятий в течение неопределенного срока
Узнать стоимость
Я подтверждаю свое согласие на обработку компанией КРОК моих персональных данных, указанных в форме, в целях и пределах, установленных законодательством РФ о персональных данных в рамках проводимых мероприятий в течение неопределенного срока
Предпочтительный способ связи
Попробовать бесплатно
Я подтверждаю свое согласие на обработку компанией КРОК моих персональных данных, указанных в форме, в целях и пределах, установленных законодательством РФ о персональных данных в рамках проводимых мероприятий в течение неопределенного срока
Предпочтительный способ связи
Регистрация в консоли
Я подтверждаю свое согласие на обработку компанией КРОК моих персональных данных, указанных в форме, в целях и пределах, установленных законодательством РФ о персональных данных в рамках проводимых мероприятий в течение неопределенного срока
Предпочтительный способ связи
Быть в теме

Docker и InSpec: проверка контейнерной инфраструктуры на безопасность

17.09.2019 2 минуты 543

Cis-docker-benchmark – это ни что иное как профиль соответствия InSpec, который содержит в себе набор тестов для запуска в автоматическом режиме. По итогам тестирования вы получаете детальное описание того, что у вас сделано хорошо, а что требует улучшения.

Для тех, кто еще не знаком с InSpec, скажу лишь, что это очень полезный открытый фреймворк на Ruby со своим декларативным языком, предназначенным для написания правил автоматической проверки вашей инфраструктуры на соответствие чему угодно. В данном конкретном случае это решение применяется для описания набора правил тестирующих вашу контейнерную инфраструктуру на соответствие определенным политикам безопасности.

При помощи InSpec можно тестировать локальный хост, удаленный хост и даже определенный контейнер! Если вам хотелось бы получить больше информации на эту тему, пишите, пожалуйста, в комментариях.

На странице проекта cis-docker-benchmark в GitHub приведены все возможные варианты запуска набора тестов. Наиболее удобный с моей точки зрения — это запуск сразу из локальной директории:


	 git clone https://github.com/dev-sec/cis-docker-benchmark
	 inspec exec cis-docker-benchmark --attrs sample_attributes.yml -t ssh://user@192.168.123.11 --sudo

При таком варианте запуска вы можете поменять необходимые вам атрибуты профиля тестирования, находящиеся в файле cis-docker-benchmark/sample_attributes.yml. Назначение атрибутов для тестирования можно выяснить в описании проекта cis-docker-benchmark на GitHub.

Само собой, перед выполнением вышеуказанных команд у вас должен быть установлен git, Ruby и InSpec.

Лично я сходу обнаружил на своем продуктивном сервере 99 ошибок из набора в 150 запущенных тестов. Пошел исправлять.

P.S. Кстати, автоматические проверки вашей инфраструктуры InSpec-ом могут быть легко встроены в ваши процессы CI/CD. Успехов в работе!

Не пропустите самые важные, интересные и полезные статьи недели

Ваш e-mail успешно подписан.