Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений
معرفی کتاب «Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений» نوشتهٔ Лиз Райс، منتشرشده توسط نشر Питер در سال 2021. این کتاب در فرمت pdf، زبان انگلیسی ارائه شده است.
Предисловие Для кого эта книга Структура издания Примечание относительно Kubernetes Примеры Запуск контейнеров Обратная связь Условные обозначения Использование примеров кода От издательства Благодарности Глава 1. Угрозы безопасности контейнеров Риски, угрозы и уменьшение их последствий Модель угроз для контейнеров Границы зон безопасности Мультиарендность Совместно используемые машины Виртуализация Мультиарендность контейнеров Экземпляры контейнеров Принципы безопасности Минимум полномочий Многослойная защита Минимальная поверхность атаки Ограничение радиуса поражения Разграничение обязанностей Реализация принципов безопасности с помощью контейнеров Резюме Глава 2. Системные вызовы Linux, права доступа и привилегии Системные вызовы Права доступа к файлам Биты setuid и setgid Привилегии Linux Повышение полномочий Резюме Глава 3. Контрольные группы Иерархии контрольных групп Создание контрольных групп Установка ограничений на ресурсы Приписываем процесс к контрольной группе Контрольные группы в Docker Контрольные группы версии 2 Резюме Глава 4. Изоляция контейнеров Пространства имен Linux Изоляция хост-имени Изоляция идентификаторов процессов Изменение корневого каталога Сочетание возможностей пространств имен и изменения корневого каталога Пространство имен монтирования Пространство имен сети Пространство имен пользователей Пространство имен обмена информацией между процессами Пространство имен контрольных групп Процессы контейнера с точки зрения хоста Хост-компьютеры контейнеров Резюме Глава 5. Виртуальные машины Загрузка компьютера Знакомство с VMM VMM Type 1 (гипервизоры) VMM Type 2 Виртуальные машины, работающие в ядре «Перехватывай-и-эмулируй» Обработка невиртуализируемых инструкций Изоляция процессов и безопасность Недостатки виртуальных машин Изоляция контейнеров по сравнению с изоляцией виртуальных машин Резюме Глава 6. Образы контейнеров Корневая файловая система и конфигурация образов контейнеров Переопределение настроек во время выполнения Стандарты OCI Конфигурация образа Сборка образов Опасности команды docker build Сборка без использования демона Слои образов Хранение образов Идентификация образов Безопасность образов Безопасность этапа сборки Происхождение Dockerfile Практические рекомендации по безопасности Dockerfile Атаки на машину сборки Безопасность хранилищ образов Запуск собственного реестра Подписывание образов Безопасность развертывания образов Развертывание правильного образа Вредоносная конфигурация развертывания системы Контроль допуска GitOps и безопасность развертывания Резюме Глава 7. Программные уязвимости в образах контейнеров Исследования уязвимостей Уязвимости, исправления и дистрибутивы Уязвимости уровня приложения Управление рисками, связанными с уязвимостями Сканирование на уязвимости Установленные пакеты Сканирование образов контейнеров Неизменяемые контейнеры Регулярное сканирование Средства сканирования Источники информации Устаревшие источники Не все уязвимости исправляются Уязвимости подпакетов Различия названий пакетов Дополнительные возможности сканирования Ошибки сканеров Сканирование в конвейере CI/CD Предотвращение запуска образов с уязвимостями Уязвимости нулевого дня Резюме Глава 8. Усиление изоляции контейнеров Механизм Seccomp Модуль AppArmor Модуль SELinux Песочница gVisor Среда выполнения контейнеров Kata Containers Виртуальная машина Firecracker Unikernels Резюме Глава 9. Нарушение изоляции контейнеров Выполнение контейнеров по умолчанию от имени суперпользователя Переопределение идентификатора пользователя Требование выполнения от имени суперпользователя внутри контейнера Контейнеры, не требующие полномочий суперпользователя Флаг --privileged и привилегии Монтирование каталогов с конфиденциальными данными Монтирование сокета Docker Совместное использование пространств имен контейнером и его хостом Вспомогательные контейнеры Резюме Глава 10. Сетевая безопасность контейнеров Брандмауэры для контейнеров Сетевая модель OSI Отправка IP-пакета IP-адреса контейнеров Сетевая изоляция Маршрутизация на уровнях 3/4 и правила Утилита iptables IPVS Сетевые стратегии Программные решения для сетевых стратегий Практические рекомендации для сетевых стратегий Service mesh Резюме Глава 11. Защищенное соединение компонентов с помощью TLS Защищенные соединения Сертификаты X.509 Пары «открытый/секретный ключ» Центры сертификации Запросы на подписание сертификатов TLS-соединения Защищенные соединения между контейнерами Отзыв сертификатов Резюме Глава 12. Передача в контейнеры секретных данных Свойства секретных данных Передача информации в контейнер Хранение секретных данных в образе контейнера Передача секретных данных по сети Передача секретных данных в переменных среды Передача секретных данных через файлы Секретные данные в Kubernetes Секретные данные доступны для суперпользователя хоста Резюме Глава 13. Защита контейнеров во время выполнения Профили образов контейнеров Профили сетевого трафика Профили исполняемых файлов Профили доступа к файлам Профили идентификаторов пользователей Другие профили времени выполнения Утилиты обеспечения безопасности контейнеров Предотвращение отклонений Резюме Глава 14. Контейнеры и десять главных рисков по версии OWASP Внедрение кода Взлом аутентификации Раскрытие конфиденциальных данных Внешние сущности XML Взлом управления доступом Неправильные настройки безопасности Межсайтовое выполнение сценариев (XSS) Небезопасная десериализация Использование компонентов, содержащих известные уязвимости Недостаток журналирования и мониторинга Резюме Заключение Приложение. Контрольный список по безопасности Об авторе Об иллюстрации на обложке To facilitate scalability and resilience, many organizations now run applications in cloud native environments using containers and orchestration. But how do you know if the deployment is secure? This practical book examines key underlying technologies to help developers, operators, and security professionals assess security risks and determine appropriate solutions.Author Liz Rice, Chief Open Source Officer at Isovalent, looks at how the building blocks commonly used in container-based systems are constructed in Linux. You'll understand what's happening when you deploy containers and learn how to assess potential security risks that could affect your deployments. If you run container applications with kubectl or docker and use Linux command-line tools such as ps and grep, you're ready to get started.Explore attack vectors that affect container deploymentsDive into the Linux constructs that underpin containersExamine measures for hardening containersUnderstand how misconfigurations can compromise container isolationLearn best practices for building container imagesIdentify container images that have known software vulnerabilitiesLeverage secure connections between containersUse security tooling to prevent attacks on your deployment "To facilitate scalability and resilience, many organizations now run applications in cloud native environments using containers and orchestration. But how do you know if the deployment is secure? This practical book examines key underlying technologies to help developers, operators, and security professionals assess security risks and determine appropriate solutions. Author Liz Rice, VP of open source engineering at Aqua Security, looks at how the building blocks commonly used in container-based systems are constructed in Linux. You'll understand what's happening when you deploy containers and learn how to assess potential security risks that could affect your deployments. If you run container applications with kubectl or docker and use Linux command-line tools such as ps and grep, you're ready to get started."--Page 4 of cover To facilitate scalability and resilience, many organizations now run applications in cloud native environments using containers and orchestration. But how do you know if the deployment is secure? This practical book examines key underlying technologies to help developers, operators, and security professionals assess security risks and determine appropriate solutions. Author Liz Rice, Chief Open Source Officer at Isovalent, looks at how the building blocks commonly used in container-based systems are constructed in Linux. You'll understand what's happening when you deploy containers and learn how to assess potential security risks that could affect your deployments. If you run container applications with kubectl or docker and use Linux command-line tools such as ps and grep, you're ready to get started.
دانلود کتاب Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений