Best practice per i container

Questa pagina fornisce informazioni sulle best practice per la creazione e l'esecuzione di immagini container.

Creazione di container

L'approccio adottato per la creazione delle immagini container può influire sulla velocità delle build e dei deployment, nonché sullo sforzo necessario per gestire le immagini.

Leggi le best practice di Docker per la creazione di immagini.

Considerazioni per i registri pubblici

Valuta attentamente i seguenti casi:

Utilizzo di immagini provenienti da fonti pubbliche

Quando utilizzi immagini da origini pubbliche come Docker Hub, introduci nella catena di approvvigionamento del software codice che la tua organizzazione non controlla. Per ridurre il rischio, puoi:

  • Crea le tue immagini per controllare i contenuti delle immagini.
  • Utilizza un'immagine di base standardizzata e crea un'immagine basata su questa.
  • Scansiona le immagini per rilevare le vulnerabilità e risolvi quelle identificate.
  • Applica standard e criteri alle immagini di cui esegui il deployment.
Rendere pubblici i registry

Puoi rendere pubblico il registry nel tuo progetto Google Cloud concedendo accesso in lettura al bucket di archiviazione del registry all'identità allUsers.

Se tutti i tuoi utenti dispongono di account Google Cloud, puoi limitare l'accesso agli utenti autenticati con l'identità allAuthenticatedUsers.

Prima di rendere pubblico un registry, tieni presenti le seguenti linee guida:

  • Verifica che tutte le immagini archiviate nel registry siano condivisibili pubblicamente e non espongano credenziali, dati personali o riservati.
  • Ti vengono addebitati i costi per il traffico di rete in uscita quando gli utenti estraggono le immagini. Se prevedi un volume elevato di traffico in download da internet, valuta i costi associati.
  • Per impostazione predefinita, i progetti prevedono quote per utente illimitate. Per impedire utilizzi illeciti, limita la quota per utente all'interno del tuo progetto.

Rimozione di immagini inutilizzate

Rimuovi le immagini dei contenitori inutilizzati per ridurre i costi di archiviazione e mitigare i rischi dell'utilizzo di software meno recenti. Esistono diversi strumenti disponibili per aiutarti a svolgere questa attività, tra cui gcr-cleaner. Lo strumento gcr-cleaner non è un prodotto Google ufficiale.

Valutazione della sicurezza dei container

Il Center for Internet Security (CIS) ha un benchmark Docker per valutare la sicurezza di un contenitore Docker.

Docker fornisce uno script open source chiamato Docker Bench for Security. Puoi utilizzare lo script per convalidare un container Docker in esecuzione rispetto al benchmark CIS Docker.

Docker Bench For Security può aiutarti a verificare molti elementi nel benchmark Docker CIS, ma non tutti gli elementi sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host del contenitore è protetto o se l'immagine del contenitore include dati personali. Esamina tutti gli elementi del benchmark e identifica quelli che potrebbero richiedere una verifica aggiuntiva.

Protezione dei deployment

Scopri come creare una catena di fornitura del software sicura e come utilizzare analisi delle vulnerabilità e l'autorizzazione binaria su Google Cloud per definire e applicare i criteri per il deployment.

Puoi anche guardare un video che descrive come proteggere la catena di fornitura del software.