不可否认,能生存在互联网上的软件都是相互关联的,当我们开发一款应用程序时,它必须与其他的服务进行通信,无论是在你的基础设施,还是云服务,亦或是第三方应用程序上。当然,你不希望你不认识的人伪装成你,所以在你使用SSH密钥或者接口令牌来确保通信安全时,你必须保密。
不幸的是,有时你的密钥会泄露。当这种情况发生时,它可能会允许不良行为者恶意使用密钥或将其发布在“暗网”上供他人使用。他们可以在您的代码中插入漏洞。他们可以冒充您或拒绝合法用户访问资源。而且,如果秘密是用于可计费的东西(如公共云基础设施),他们会使用各种手段花费您很多钱,最终可能导致信用流失,以至于破产。
例如:
- 精准钓鱼:邮箱、帐号、密码、IP地址等
- 高薪诱惑:点击邮件中的链接
- 威胁恐吓:短信诈骗、邮件诈骗
针对信息安全,我们应该如何防护呢?
首先,使用Docker Hub控制访问
最小权限原则是您的安全状态的一个强大部分。如果有人不需要访问您的Docker Hub映像,他们就不应该有访问权限。Docker Hub提供私有存储库,以便您可以将镜像留给自己。Docker个人订阅者可以创建一个私有存储库,而Docker Pro、Docker Team和Docker Business订阅提供无限的私有存储库。Docker Hub也不用于存储帐户机密,私有存储库是深度防御模型中的一层。
其次,保护密钥
避免意外添加机密的最佳方法是使用机密管理器,例如AWS Secrets Manager,其中包含一些CLI选项。如果您必须将机密保存在本地环境中,您可以通过将文件添加到.dockerignore
文件来防止文件意外在图像上结束。例如,如果您担心意外将SSH密钥添加到图像中,您可以包括:*id_rsa*
。
这种方法适用于具有可预测名称的文件中的机密。如果您总是将云凭据存储在名为cloud_key.txt
的文件中,那么您就得到了很好的保护。但您不会捕获cloud_credentials.txt
。
您可以使用秘密扫描仪添加另一层安全性。Aqua Security Trivy工具会在您的文件中搜索看起来像秘密的东西。如果您在推送图像之前运行扫描仪,那么您可以在秘密逃脱之前捕获它。许多秘密扫描仪也可以绑定到Git提交挂钩中,以防止秘密包含在您的代码中。
写在最后
保护密钥是一个持续的过程,但值得每一个开发运维共同努力。就像网络安全中的一样,没有一个神奇的解决方案,但Docker提供了可用于帮助防止泄露秘密的功能。
我正在参与2023腾讯技术创作特训营第三期有奖征文,组队打卡瓜分大奖!