Iptables隔离,通过在宿主机侧对Docker网络集群外部做基于Iptables的隔离策略,可以限制攻击者对“容器在宿主机所映射端口”的访问,缩小受攻击面。
部署软WAF,通过在Docker网络集群的流量入口处做软WAF的部署(形态可以是宿主机软件或者Docker容器),可以在此处阻断、发现部分恶意流量。
部署RASP,通过在Java、PHP服务器Docker容器内部部署RASP产品,可以用之作为保护的最后一环,作为网络治理的一个补充小点。
Webshell扫描,通过在宿主机侧通过Webshell扫描引擎扫描来自Docker容器的“Web应用程序文件”(这些文件可通过“docker cp”命令或者“动态挂载”机制获得),有助于发现攻击者植入的Webshell。
日志分析,通过在宿主机侧通过ELK等日志分析分析来自Docker容器的日志文件(这些日志文件同样可通过“docker cp”或“动态挂载”等方式获得)。此外,单独运行Sidekick日志容器等做法有助于发现安全威胁。
识别中间人攻击,通过在Docker网络集群内部通过网络隔离是防止此类基于网络的攻击的有效方法,此方法可使得攻击者无法操纵或窃听主机及其他容器的网络流量;在这种情况下,OpenVPN(开放虚拟专用网络)提供了一种通过TLS(传输层安全协议)加密实现虚拟专用网络(VPN)的方法。
识别、阻断流向异常的流量,通过在Docker网络集群内部依据实际的网络拓扑图对网络进行“微分段”隔离(在“微服务架构”下,IP地址可能变换频繁,但是预先划分的网段不会变换频繁),或者对指定的网桥、网卡进行流量的DPI分析,有助于识别、阻断流向异常的流量。
识别拒绝服务攻击,通过在宿主机侧读取和Docker容器对应的cgroup文件系统相关文件的实时内容(网络、CPU、内存、磁盘),可以识别出拒绝服务攻击。
网络流量可视化,“网络流量可视化”是现有的“容器安全产品”的常见附加功能。该功能的功能可能依托于“对指定的网桥、网卡进行流量的DPI分析”。