Segurança de contentores
O que é Segurança de contentores?
Segurança de contentoresPrática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados.
A segurança de contentores cobre todo o ciclo de vida dos contentores OCI (Docker, containerd, CRI-O). No build, as equipas analisam imagens à procura de CVEs e segredos, assinam-nas com Sigstore/Cosign e impõem imagens base mínimas. Na distribuição, os registos são protegidos com acessos autenticados e verificação de assinaturas. Em runtime, hardening do host, isolamento por namespaces/cgroups, seccomp, AppArmor e sistemas de ficheiros só de leitura reduzem a superfície de ataque, enquanto admission controllers e sensores baseados em eBPF aplicam políticas e detetam anomalias. Riscos comuns: contentores privilegiados, montagens hostPath, camadas base vulneráveis, segredos expostos e fugas de contentor via exploits de kernel.
● Exemplos
- 01
Trivy ou Grype a analisar imagens em CI; Kyverno ou OPA Gatekeeper a rejeitar pods privilegiados.
- 02
Falco a detetar uma shell aberta dentro de um contentor em produção.
● Perguntas frequentes
O que é Segurança de contentores?
Prática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Segurança de contentores?
Prática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados.
Como se defender contra Segurança de contentores?
As defesas contra Segurança de contentores costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Segurança de contentores?
Nomes alternativos comuns: Segurança Docker, Segurança de contentores OCI.