Kontenery. Bezpieczne wdrożenia. Podstawowe koncepcje i technologie (ebook)(audiobook)(audiobook)

Autor:: Liz Rice

Okładka książki/ebooka Kontenery. Bezpieczne wdrożenia. Podstawowe koncepcje i technologie

Okładka książki Kontenery. Bezpieczne wdrożenia. Podstawowe koncepcje i technologie

Obróć Zajrzyj do książki

Wydawnictwo:: Helion
Wydawnictwo:: Helion
Ocena:: Bądź pierwszym, który oceni tę książkę
Stron:: 184
Druk:: oprawa miękka
3w1 w pakiecie:: PDF

ePub

Mobi

+35 pkt

+26 pkt

Książka

~~59,00 zł~~ 40%
35,40 zł

Dodaj do koszyka Wysyłamy w 24h

Ebook

~~59,00 zł~~ 55%
26,55 zł

Dodaj do koszyka lub Kup na prezent Kup 1-kliknięciem

Przenieś na półkę

Do przechowalni

Powiadom o dostępności audiobooka »

Imponująca możliwość skalowania oraz odporność na awarie skłania organizacje do uruchamiania swoich aplikacji w natywnych środowiskach chmury. Technologia kontenerów i orkiestracji stała się ostatnio bardzo modna. Jednak nawet tak nowoczesne systemy nie są wolne od zagrożeń. Aby zapewnić wdrożeniom kontenerowym najwyższy możliwy poziom bezpieczeństwa, trzeba zrozumieć mechanizmy działania kontenerów. Jako że powstają one przez połączenie różnych funkcji jądra systemu Linux, zapewnienie bezpieczeństwa kontenera oznacza zastosowanie wielu mechanizmów wykorzystywanych w komputerze gospodarza działającego pod kontrolą systemu operacyjnego Linux.

Ta książka jest przeznaczona dla programistów, menedżerów i specjalistów do spraw bezpieczeństwa odpowiedzialnych za systemy kontenerowe. Dzięki niej zrozumiesz, co się dzieje podczas uruchamiania aplikacji w kontenerach i jak działają różne mechanizmy zapewnienia bezpieczeństwa. Przyswoisz kluczowe koncepcje, które ułatwią Ci ocenę ryzyka dla konkretnego systemu. Dowiesz się, jak w bezpieczny sposób tworzyć obrazy kontenerów, i zrozumiesz znaczenie poprawnej izolacji kontenerów.

Zapoznasz się z podstawami korzystania z kluczy i certyfikatów służących do identyfikacji i nawiązywania bezpiecznych połączeń sieciowych między kontenerami. Nauczysz się korzystać z narzędzi do zapewniania bezpieczeństwa i unikania ataków. Dodatkowo zaprezentowany tu materiał został bogato zilustrowany gotowymi do przetestowania fragmentami kodu.

Najciekawsze zagadnienia ujęte w książce:

mechanizmy ataków na wdrożenia oparte na kontenerach
koncepcje systemu Linux istotne dla wdrożeń kontenerowych
sposoby zabezpieczania kontenerów: najlepsze praktyki
błędy w konfiguracji i luki w zabezpieczeniach kontenera
bezpieczeństwo połączeń między kontenerami
narzędzia do zapewnienia bezpieczeństwa

System oparty na kontenerach. Jak dobrze jest zabezpieczony?

Pokaż opis z okładki oryginału »

Aby zapewnić możliwość skalowania i odporność na awarie, wiele organizacji zaczęło uruchamiać aplikacje w natywnych środowiskach chmury, za pomocą kontenerów i orkiestracji. Jednak skąd można wiedzieć, czy wdrożenie jest bezpieczne? W tej praktycznej książce znajdziesz omówienie kluczowych technologii pomagających programistom, operatorom i profesjonalistom zajmującym się kwestiami zapewnienia bezpieczeństwa w ocenie poziomu ryzyka oraz w podjęciu odpowiednich działań.

Autorka Liz Rice, wiceprezydent działu Open Source Engineering w firmie Aqua Security, pokazała, jak w systemie Linux zostały skonstruowane komponenty, na podstawie których są najczęściej tworzone kontenery. Dzięki tej książce zrozumiesz, co się dzieje podczas wdrażania kontenerów i poznasz potencjalne niebezpieczeństwa zagrażające Twoim wdrożeniom. Jeżeli za pomocą poleceń kubectrl lub docker uruchamiasz aplikacje w kontenerach i używasz poleceń powłoki systemu Linux, takich jak ps i grep, masz wiedzę wystarczającą do rozpoczęcia lektury.

Poznaj płaszczyzny ataków na wdrożenia oparte na kontenerach.
Dokładnie poznaj konstrukcje systemu Linux używane przez kontenery.
Przeanalizuj sposoby zabezpieczania kontenerów.
Zobacz, jak błędna konfiguracja kontenera może złamać jego izolację.
Poznaj najlepsze praktyki w zakresie tworzenia obrazów kontenera.
Naucz się wykrywać obrazy kontenera zawierające oprogramowanie, w którym znajdują się znane luki w zabezpieczeniach.
Wykorzystaj bezpieczne połączenia między kontenerami.
Używaj narzędzi zapewnienia bezpieczeństwa do uniemożliwiania ataków na Twoje wdrożenia.

"Zastosowane przez Liz podejście "Jak to działa?" podczas wyjaśniania tematów, takich jak izolacja procesów, zapewnienie bezpieczeństwa obrazu oraz podczas omawiania kluczowych koncepcji systemu Linux, okazuje się niezwykle cenne dla profesjonalisty IT szukającego informacji na wymienione tematy. Gorąco zachęcam do nabycia egzemplarza tej książki, a następnie do zastosowania przedstawionych przez Liz reguł i podpowiedzi z zakresu zapewnienia bezpieczeństwa".

Phil Este, inżynier i CTO systemu Linux i strategii kontenerów w chmurze IBM

"To jest wyczerpujący przewodnik dotyczący jądra systemu Linux, kontenerów i izolacji maszyn wirtualnych; napisany w niezrównanym stylu Liz. Jeżeli lubisz jej wystąpienia i prezentacje typu "od podstaw", to dzięki tej książce zagłębisz się jeszcze bardziej do tajemniczego świata zapewnienia bezpieczeństwa kontenerów. Znajdziesz tutaj pouczające podpowiedzi oraz informacje o narzędziach i technikach, dzięki którym będziesz w stanie zapewnić bezpieczeństwo zarówno aplikacjom, jak i danym".

Andrew Martin, dyrektor w ControlPlane

O autorze

Liz Rice zajmuje jedno z kluczowych stanowisk w firmie Aqua Security. Specjalizuje się w systemach bezpieczeństwa kontenerów. Jest członkiem CNCF Technical Oversight Committee, współprowadziła konferencję KubeCon + CloudNativeCon 2018 w Kopenhadze, Szanghaju i Seattle. Zdobyła imponujące doświadczenie w zespołowym tworzeniu oprogramowania oraz w pracy nad systemami rozproszonymi, a także w zakresie takich technologii jak VOD czy VoIP.

Szczegóły książki

Tytuł oryginału:: Container Security: Fundamental Technology Concepts that Protect Containerized Applications
Tłumaczenie:: Robert Górczyński
ISBN Książki drukowanej:: 978-83-283-7228-3, 9788328372283
Data wydania książki drukowanej:: 2021-02-09
ISBN Ebooka:: 978-83-283-7229-0, 9788328372290
Data wydania ebooka:: 2021-02-09 Data wydania ebooka często jest dniem wprowadzenia tytułu do sprzedaży i może nie być równoznaczna z datą wydania książki papierowej. Dodatkowe informacje możesz znaleźć w darmowym fragmencie. Jeśli masz wątpliwości skontaktuj się z nami sklep@ebookpoint.pl.
Format:: 168x237
Numer z katalogu:: 123188
Rozmiar pliku Pdf:: 3.0MB
Rozmiar pliku ePub:: 5.4MB
Rozmiar pliku Mobi:: 5.4MB
Pobierz przykładowy rozdział PDF
Przykłady na ftp

Zgłoś erratę

Kategorie

Kliknij, aby zgłosić błędnie przypisaną kategorię »

Informatyka » Hacking » Bezpieczeństwo systemów

Informatyka » Hacking » Inne

Informatyka » Programowanie » Docker

Informatyka » Systemy operacyjne » Linux

Spis treści

Wprowadzenie 9

1. Zagrożenia związane z kontenerami 15

Ryzyko, zagrożenie i środki ostrożności 16
Model zagrożenia kontenera 16
Granice bezpieczeństwa 20
Wielodostępność 21

Maszyny współdzielone 21
Wirtualizacja 22
Wielodostępność w przypadku kontenerów 23
Egzemplarze kontenera 24

Zasady dotyczące zapewnienia bezpieczeństwa 24

Najmniejsze możliwe uprawnienia 24
Głęboka defensywa 24
Ograniczenie płaszczyzny ataku 25
Ograniczenie pola rażenia 25
Podział zadań 25
Stosowanie zasad bezpieczeństwa w kontenerach 25

Podsumowanie 26

2. Wywołania systemu Linux, uprawnienia i właściwości jądra 27

Wywołania systemowe 27
Uprawnienia plików 28

setuid i setgid 30

Mechanizm właściwości jądra systemu Linux 33
Podniesienie uprawnień 35
Podsumowanie 36

3. Grupy kontrolne 37

Hierarchia grup kontrolnych 37
Tworzenie grup kontrolnych 38
Definiowanie ograniczeń dla zasobów 40
Przypisanie procesu do grupy kontrolnej 41
Używanie grup kontrolnych z Dockerem 42
Grupy kontrolne - wersja druga 43
Podsumowanie 44

4. Izolacja kontenera 45

Przestrzenie nazw systemu Linux 46
Izolacja nazwy hosta 47
Izolowanie identyfikatorów procesów 49
Zmiana katalogu głównego 52
Połączenie przestrzeni nazw i zmiany katalogu głównego 55
Przestrzeń nazw punktów montowania 55
Przestrzeń nazw sieci 57
Przestrzeń nazw użytkownika 59

Ograniczenia przestrzeni nazw użytkownika w Dockerze 61

Przestrzeń nazw IPC 62
Przestrzeń nazw grup kontrolnych 63
Proces kontenera z perspektywy systemu komputera gospodarza 64
Maszyny gospodarza kontenera 65
Podsumowanie 67

5. Maszyna wirtualna 69

Uruchomienie komputera 69
Poznaj VMM 70

Typ 1. VMM - hipernadzorca 71
Typ 2. VMM 72
Maszyny wirtualne oparte na jądrze 73

Przechwyć i emuluj 73
Obsługa instrukcji niewirtualizowanych 74
Izolacja procesu i zapewnienie bezpieczeństwa 75
Wady maszyny wirtualnej 76
Izolacja kontenera w porównaniu do izolacji maszyny wirtualnej 77
Podsumowanie 77

6. Obrazy kontenera 79

Główny system plików i konfiguracja obrazu 79
Nadpisanie konfiguracji w trakcie działania obrazu 80
Standardy OCI 80
Konfiguracja obrazu 81
Tworzenie obrazu 82

Niebezpieczeństwa związane z poleceniem docker build 82
Tworzenie obrazu kontenera bez użycia demona 83
Warstwy obrazu 84

Przechowywanie obrazów kontenera 86
Identyfikowanie obrazów kontenera 86
Zapewnienie bezpieczeństwa obrazowi kontenera 88
Zapewnienie bezpieczeństwa podczas tworzenia obrazu 89

Pochodzenie pliku Dockerfile 89
Najlepsze praktyki związane z zapewnieniem bezpieczeństwa pliku Dockerfile 89
Ataki na komputer, w którym są tworzone obrazy 92

Zapewnienie bezpieczeństwa podczas przechowywania obrazów 92

Utworzenie własnego rejestru obrazów 92
Podpisywanie obrazów 93

Zapewnienie bezpieczeństwa podczas wdrażania obrazów 93

Wdrożenie właściwego obrazu 93
Definicja wdrożenia zawierającego kod o złośliwym działaniu 94
Sterowanie dopuszczeniem 94

GitOps i zapewnienie bezpieczeństwa podczas wdrożenia 95
Podsumowanie 96

7. Luki w zabezpieczeniach oprogramowania umieszczonego w obrazie kontenera 97

Szukanie luk w zabezpieczeniach 97
Luki w zabezpieczeniach, poprawki bezpieczeństwa i dystrybucje 98
Luki w zabezpieczeniach na poziomie aplikacji 99
Zarządzanie ryzykiem związanym z lukami w zabezpieczeniach 99
Skanowanie pod kątem luk w zabezpieczeniach 100
Zainstalowane pakiety 100
Skanowanie obrazu kontenera 101

Kontenery niemodyfikowalne 101
Regularne skanowanie 102

Narzędzia skanowania 103

Źródła informacji 103
Nieaktualne źródła danych 104
Luki w zabezpieczeniach, które nie zostaną usunięte 104
Luki w zabezpieczeniach podpakietów 104
Różne nazwy pakietu 104
Dodatkowe funkcje skanowania 105
Błędy narzędzi skanowania 105

Skanowanie w trakcie procesu ciągłej integracji i ciągłego wdrożenia 105
Uniemożliwianie uruchamiania obrazów zawierających luki w zabezpieczeniach 108
Luki w zabezpieczeniach dnia zerowego 108
Podsumowanie 109

8. Wzmocnienie izolacji kontenera 111

seccomp 111
AppArmor 113
SELinux 114
gVisor 116
Kontener Kata 118
Firecracker 119
Unijądro 119
Podsumowanie 120

9. Złamanie izolacji kontenera 121

Kontener domyślnie działa z uprawnieniami użytkownika root 121

Nadpisanie identyfikatora użytkownika 122
Wymaganie uprawnień użytkownika root wewnątrz kontenera 123
Kontener niewymagający uprawnień użytkownika root 125

Właściwości jądra systemu Linux i opcja --privileged 128
Montowanie zawierających dane wrażliwe katalogów systemu gospodarza 130
Montowanie gniazda Dockera 131
Współdzielenie przestrzeni nazw między kontenerem i gospodarzem 131
Kontener przyczepy 132
Podsumowanie 133

10. Zapewnienie bezpieczeństwa sieci kontenera 135

Zapora sieciowa kontenera 135
Model OSI 137
Wysyłanie pakietu IP 138
Adres IP kontenera 139
Izolacja sieci 140
Reguły i routing na warstwach 3. i 4. 141

iptables 141
IPVS 143

Polityki sieciowe 143

Rozwiązania w zakresie polityki sieciowej 145
Najlepsze praktyki związane z polityką sieciową 146

Architektura Service Mesh 147
Podsumowanie 148

11. Bezpieczna komunikacja między komponentami przy użyciu TLS 149

Bezpieczne połączenie 149
Certyfikat X.509 150

Para kluczy publicznego i prywatnego 151
Urząd certyfikacji 152
Żądanie podpisania certyfikatu 153

Połączenie TLS 154
Bezpieczne połączenia między kontenerami 155
Unieważnienie certyfikatu 156
Podsumowanie 157

12. Przekazywanie danych poufnych do kontenera 159

Właściwości danych poufnych 159
Przekazywanie informacji do kontenera 160

Przechowywanie danych poufnych w obrazie kontenera 161
Przekazywanie danych poufnych przez sieć 161
Przekazywanie danych poufnych w zmiennych środowiskowych 162
Przekazywanie danych poufnych za pomocą plików 163

Dane poufne w Kubernetes 163
Dane poufne są dostępne dla użytkownika root 164
Podsumowanie 165

13. Zabezpieczanie środowiska uruchomieniowego kontenera 167

Profile obrazów kontenera 167

Profile ruchu sieciowego 168
Profile plików wykonywalnych 168
Profile dostępu do plików 170
Profile identyfikatorów użytkowników 170
Inne profile używane w środowisku uruchomieniowym 171
Narzędzia zapewnienia bezpieczeństwa kontenera 171

Unikanie różnic 173
Podsumowanie 174

14. Kontenery i przygotowana przez OWASP lista Top 10 175

Wstrzyknięcie kodu 175
Złamanie mechanizmu uwierzytelnienia 175
Ujawnienie danych wrażliwych 176
Zewnętrzne encje XML 176
Nieprawidłowa kontrola dostępu 176
Błędna konfiguracja zabezpieczeń 177
XSS 177
Niebezpieczna deserializacja 178
Używanie komponentów zawierających znane luki w zabezpieczeniach 178
Niewystarczający poziom rejestrowania danych i monitorowania 178
Podsumowanie 179

Zakończenie 181

Dodatek A. Lista rzeczy do sprawdzenia w zakresie zapewnienia bezpieczeństwa 182

pokaż cały spis treści

Kontenery. Bezpieczne wdrożenia. Podstawowe koncepcje i technologie (ebook)(audiobook)(audiobook)

Książka

Ebook

Opis książki

Czytaj fragment

System oparty na kontenerach. Jak dobrze jest zabezpieczony?

O autorze

Oceny i opinie klientów (0)

Szczegóły książki

Kategorie

Spis treści

Przenieś na półkę

Dodano produkt na półkę

Usunięto produkt z półki

Przeniesiono produkt do archiwum

Przeniesiono produkt do biblioteki

Kontenery. Bezpieczne wdrożenia. Podstawowe koncepcje i technologie (ebook)(audiobook)(audiobook)

Książka

Ebook

Opis książki Czytaj fragment

System oparty na kontenerach. Jak dobrze jest zabezpieczony?

O autorze

Oceny i opinie klientów (0)

Szczegóły książki

Kategorie

Spis treści

Twoje uwagi do kursu

Poinformuj mnie

Wybierz metodę płatności

Przenieś na półkę

Dodano produkt na półkę

Usunięto produkt z półki

Przeniesiono produkt do archiwum

Przeniesiono produkt do biblioteki

Opis książki

Czytaj fragment