공격 표면을 줄이기 위해 프로덕션 컨테이너를 실행하는 데 사용되는 Docker 데몬의 기능을 줄이고 싶습니다.
나는 다음을 원한다:
- 단일 레지스트리에서 가져오기 제한
- 불허하다
push - 불허하다
build - 아마도 다른 많은 기능을 허용하지 않을 것입니다
이는 아마도 데몬의 REST API의 일부 경로를 차단하는 것과 관련이 있을 것입니다.
나는 이것을 읽었다데몬 공격 표면 감소에 대한 Docker 문서하지만 데몬 기능을 비활성화하는 것에 대해서는 아무 말도하지 않습니다.
가능합니까? 어떻게 해야 합니까?
답변1
첫째, Docker API에 대한 액세스는 일반적으로 호스트의 루트 액세스와 동일합니다. 루트라고 신뢰할 수 없는 이 API에 대한 액세스 권한을 사용자에게 부여하지 마십시오. Docker 엔진을 사용하여 GA에 들어가는 루트 없는 지원에 대한 작업이 있으므로 API를 잠그기보다는 이를 조사하는 것이 좋습니다.
엔진을 제한하려는 대부분의 시도에는 Docker API를 Kubernetes, Docker EE 및 기타 상위 수준 추상화와 같은 상위 수준 API로 래핑하는 작업이 포함되어 Docker API에 직접 액세스하지 않고도 세부적인 RBAC를 제공합니다.
즉, 요청한 대로 Docker API를 제한할 수 있습니다.인증 플러그인. 원래 내가 아는 유일한 오픈 소스 구현은 다음에서 제공되었습니다.트위스트락. 최근에는OPA는 자체 구현을 제공했습니다.. 해당 API 액세스 권한이 있는 모든 사용자는 잠재적으로 docker를 사용하여 루트 수준 액세스 권한을 사용하여 해당 플러그인을 비활성화하거나 우회할 수 있다는 점을 알아 두십시오.