Osoby które kupowały "Kontenery. Bezpieczne wdrożenia. Podstawowe koncepcje i technologie", wybierały także:

• Windows Media Center. Domowe centrum rozrywki 66,67 zÅ‚, (8,00 zÅ‚ -88%)
• Ruby on Rails. Ćwiczenia 18,75 zÅ‚, (3,00 zÅ‚ -84%)
• DevOps w praktyce. Kurs video. Jenkins, Ansible, Terraform i Docker 190,00 zÅ‚, (39,90 zÅ‚ -79%)
• Przywództwo w Å›wiecie VUCA. Jak być skutecznym liderem w niepewnym Å›rodowisku 58,64 zÅ‚, (12,90 zÅ‚ -78%)
• Scrum. O zwinnym zarzÄ…dzaniu projektami. Wydanie II rozszerzone 58,64 zÅ‚, (12,90 zÅ‚ -78%)

Spis treści

Kontenery. Bezpieczne wdrożenia. Podstawowe koncepcje i technologie -- spis treści

Wprowadzenie 9

1. Zagrożenia związane z kontenerami 15

• Ryzyko, zagrożenie i Å›rodki ostrożnoÅ›ci 16
• Model zagrożenia kontenera 16
• Granice bezpieczeÅ„stwa 20
• WielodostÄ™pność 21
  
  • Maszyny wspóÅ‚dzielone 21
  • Wirtualizacja 22
  • WielodostÄ™pność w przypadku kontenerów 23
  • Egzemplarze kontenera 24
• Zasady dotyczÄ…ce zapewnienia bezpieczeÅ„stwa 24
  
  • Najmniejsze możliwe uprawnienia 24
  • GÅ‚Ä™boka defensywa 24
  • Ograniczenie pÅ‚aszczyzny ataku 25
  • Ograniczenie pola rażenia 25
  • PodziaÅ‚ zadaÅ„ 25
  • Stosowanie zasad bezpieczeÅ„stwa w kontenerach 25
• Podsumowanie 26

2. Wywołania systemu Linux, uprawnienia i właściwości jądra 27

• WywoÅ‚ania systemowe 27
• Uprawnienia plików 28
  
  • setuid i setgid 30
• Mechanizm wÅ‚aÅ›ciwoÅ›ci jÄ…dra systemu Linux 33
• Podniesienie uprawnieÅ„ 35
• Podsumowanie 36

3. Grupy kontrolne 37

• Hierarchia grup kontrolnych 37
• Tworzenie grup kontrolnych 38
• Definiowanie ograniczeÅ„ dla zasobów 40
• Przypisanie procesu do grupy kontrolnej 41
• Używanie grup kontrolnych z Dockerem 42
• Grupy kontrolne - wersja druga 43
• Podsumowanie 44

4. Izolacja kontenera 45

• Przestrzenie nazw systemu Linux 46
• Izolacja nazwy hosta 47
• Izolowanie identyfikatorów procesów 49
• Zmiana katalogu gÅ‚ównego 52
• PoÅ‚Ä…czenie przestrzeni nazw i zmiany katalogu gÅ‚ównego 55
• PrzestrzeÅ„ nazw punktów montowania 55
• PrzestrzeÅ„ nazw sieci 57
• PrzestrzeÅ„ nazw użytkownika 59
  
  • Ograniczenia przestrzeni nazw użytkownika w Dockerze 61
• PrzestrzeÅ„ nazw IPC 62
• PrzestrzeÅ„ nazw grup kontrolnych 63
• Proces kontenera z perspektywy systemu komputera gospodarza 64
• Maszyny gospodarza kontenera 65
• Podsumowanie 67

5. Maszyna wirtualna 69

• Uruchomienie komputera 69
• Poznaj VMM 70
  
  • Typ 1. VMM - hipernadzorca 71
  • Typ 2. VMM 72
  • Maszyny wirtualne oparte na jÄ…drze 73
• Przechwyć i emuluj 73
• ObsÅ‚uga instrukcji niewirtualizowanych 74
• Izolacja procesu i zapewnienie bezpieczeÅ„stwa 75
• Wady maszyny wirtualnej 76
• Izolacja kontenera w porównaniu do izolacji maszyny wirtualnej 77
• Podsumowanie 77

6. Obrazy kontenera 79

• GÅ‚ówny system plików i konfiguracja obrazu 79
• Nadpisanie konfiguracji w trakcie dziaÅ‚ania obrazu 80
• Standardy OCI 80
• Konfiguracja obrazu 81
• Tworzenie obrazu 82
  
  • NiebezpieczeÅ„stwa zwiÄ…zane z poleceniem docker build 82
  • Tworzenie obrazu kontenera bez użycia demona 83
  • Warstwy obrazu 84
• Przechowywanie obrazów kontenera 86
• Identyfikowanie obrazów kontenera 86
• Zapewnienie bezpieczeÅ„stwa obrazowi kontenera 88
• Zapewnienie bezpieczeÅ„stwa podczas tworzenia obrazu 89
  
  • Pochodzenie pliku Dockerfile 89
  • Najlepsze praktyki zwiÄ…zane z zapewnieniem bezpieczeÅ„stwa pliku Dockerfile 89
  • Ataki na komputer, w którym sÄ… tworzone obrazy 92
• Zapewnienie bezpieczeÅ„stwa podczas przechowywania obrazów 92
  
  • Utworzenie wÅ‚asnego rejestru obrazów 92
  • Podpisywanie obrazów 93
• Zapewnienie bezpieczeÅ„stwa podczas wdrażania obrazów 93
  
  • Wdrożenie wÅ‚aÅ›ciwego obrazu 93
  • Definicja wdrożenia zawierajÄ…cego kod o zÅ‚oÅ›liwym dziaÅ‚aniu 94
  • Sterowanie dopuszczeniem 94
• GitOps i zapewnienie bezpieczeÅ„stwa podczas wdrożenia 95
• Podsumowanie 96

7. Luki w zabezpieczeniach oprogramowania umieszczonego w obrazie kontenera 97

• Szukanie luk w zabezpieczeniach 97
• Luki w zabezpieczeniach, poprawki bezpieczeÅ„stwa i dystrybucje 98
• Luki w zabezpieczeniach na poziomie aplikacji 99
• ZarzÄ…dzanie ryzykiem zwiÄ…zanym z lukami w zabezpieczeniach 99
• Skanowanie pod kÄ…tem luk w zabezpieczeniach 100
• Zainstalowane pakiety 100
• Skanowanie obrazu kontenera 101
  
  • Kontenery niemodyfikowalne 101
  • Regularne skanowanie 102
• NarzÄ™dzia skanowania 103
  
  • ŹródÅ‚a informacji 103
  • Nieaktualne źródÅ‚a danych 104
  • Luki w zabezpieczeniach, które nie zostanÄ… usuniÄ™te 104
  • Luki w zabezpieczeniach podpakietów 104
  • Różne nazwy pakietu 104
  • Dodatkowe funkcje skanowania 105
  • BÅ‚Ä™dy narzÄ™dzi skanowania 105
• Skanowanie w trakcie procesu ciÄ…gÅ‚ej integracji i ciÄ…gÅ‚ego wdrożenia 105
• Uniemożliwianie uruchamiania obrazów zawierajÄ…cych luki w zabezpieczeniach 108
• Luki w zabezpieczeniach dnia zerowego 108
• Podsumowanie 109

8. Wzmocnienie izolacji kontenera 111

• seccomp 111
• AppArmor 113
• SELinux 114
• gVisor 116
• Kontener Kata 118
• Firecracker 119
• UnijÄ…dro 119
• Podsumowanie 120

9. ZÅ‚amanie izolacji kontenera 121

• Kontener domyÅ›lnie dziaÅ‚a z uprawnieniami użytkownika root 121
  
  • Nadpisanie identyfikatora użytkownika 122
  • Wymaganie uprawnieÅ„ użytkownika root wewnÄ…trz kontenera 123
  • Kontener niewymagajÄ…cy uprawnieÅ„ użytkownika root 125
• WÅ‚aÅ›ciwoÅ›ci jÄ…dra systemu Linux i opcja --privileged 128
• Montowanie zawierajÄ…cych dane wrażliwe katalogów systemu gospodarza 130
• Montowanie gniazda Dockera 131
• WspóÅ‚dzielenie przestrzeni nazw miÄ™dzy kontenerem i gospodarzem 131
• Kontener przyczepy 132
• Podsumowanie 133

10. Zapewnienie bezpieczeństwa sieci kontenera 135

• Zapora sieciowa kontenera 135
• Model OSI 137
• WysyÅ‚anie pakietu IP 138
• Adres IP kontenera 139
• Izolacja sieci 140
• ReguÅ‚y i routing na warstwach 3. i 4. 141
  
  • iptables 141
  • IPVS 143
• Polityki sieciowe 143
  
  • RozwiÄ…zania w zakresie polityki sieciowej 145
  • Najlepsze praktyki zwiÄ…zane z politykÄ… sieciowÄ… 146
• Architektura Service Mesh 147
• Podsumowanie 148

11. Bezpieczna komunikacja między komponentami przy użyciu TLS 149

• Bezpieczne poÅ‚Ä…czenie 149
• Certyfikat X.509 150
  
  • Para kluczy publicznego i prywatnego 151
  • UrzÄ…d certyfikacji 152
  • Żądanie podpisania certyfikatu 153
• PoÅ‚Ä…czenie TLS 154
• Bezpieczne poÅ‚Ä…czenia miÄ™dzy kontenerami 155
• Unieważnienie certyfikatu 156
• Podsumowanie 157

12. Przekazywanie danych poufnych do kontenera 159

• WÅ‚aÅ›ciwoÅ›ci danych poufnych 159
• Przekazywanie informacji do kontenera 160
  
  • Przechowywanie danych poufnych w obrazie kontenera 161
  • Przekazywanie danych poufnych przez sieć 161
  • Przekazywanie danych poufnych w zmiennych Å›rodowiskowych 162
  • Przekazywanie danych poufnych za pomocÄ… plików 163
• Dane poufne w Kubernetes 163
• Dane poufne sÄ… dostÄ™pne dla użytkownika root 164
• Podsumowanie 165

13. Zabezpieczanie środowiska uruchomieniowego kontenera 167

• Profile obrazów kontenera 167
  
  • Profile ruchu sieciowego 168
  • Profile plików wykonywalnych 168
  • Profile dostÄ™pu do plików 170
  • Profile identyfikatorów użytkowników 170
  • Inne profile używane w Å›rodowisku uruchomieniowym 171
  • NarzÄ™dzia zapewnienia bezpieczeÅ„stwa kontenera 171
• Unikanie różnic 173
• Podsumowanie 174

14. Kontenery i przygotowana przez OWASP lista Top 10 175

• WstrzykniÄ™cie kodu 175
• ZÅ‚amanie mechanizmu uwierzytelnienia 175
• Ujawnienie danych wrażliwych 176
• ZewnÄ™trzne encje XML 176
• NieprawidÅ‚owa kontrola dostÄ™pu 176
• BÅ‚Ä™dna konfiguracja zabezpieczeÅ„ 177
• XSS 177
• Niebezpieczna deserializacja 178
• Używanie komponentów zawierajÄ…cych znane luki w zabezpieczeniach 178
• NiewystarczajÄ…cy poziom rejestrowania danych i monitorowania 178
• Podsumowanie 179

Zakończenie 181

Dodatek A. Lista rzeczy do sprawdzenia w zakresie zapewnienia bezpieczeństwa 182