Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Prácticas recomendadas de seguridad

A continuación, se presentan las mejores prácticas necesarias para supervisar y proteger entornos de contenedores:

Endurecimiento del sistema operativo del host

El endurecimiento de un sistema operativo incluye lo siguiente:

  • Asegúrese de que tanto el sistema operativo de host como el software de docker estén actualizados con los parches de seguridad más recientes.

  • Descargue imágenes de contenedor verificadas a partir de descargas.

  • Ejecute docker como usuario no raíz sin privilegios de raíz. Esto se denomina modo sin raíz. En este modo, docker y contenedor se ejecutan dentro de un espacio de nombres de usuario. La ejecución de contenedores y los servicios de Docker Engine como usuarios no raíz mejora la seguridad en caso de que se produzca una infracción.

  • Evite ataques de denegación de servicio configurando una cantidad especificada de memoria y CPU necesarias para ejecutar los contenedores.

  • Evite usar sshd dentro de contenedores.

  • Evite usar puente docker0 predeterminado de suplantación de ARP y ataques de inundación de MAC.

  • Establezca el sistema de archivos raíz del contenedor como de solo lectura para evitar ataques maliciosos.

  • Establezca el límite de identificadores de proceso (PID). Cada proceso en el kernel lleva un PID único, y los contenedores aprovechan el espacio de nombres PID de Linux para proporcionar una vista independiente de la jerarquía PID para cada contenedor. Limitar el número de procesos en el contenedor evita la generación excesiva de nuevos procesos y posibles movimientos laterales maliciosos.

Administración de parches

La administración de parches implica identificar las funciones del sistema que se pueden mejorar o arreglar, liberar el paquete de actualización y validar la instalación de las actualizaciones. La aplicación de parches con actualizaciones de software y reconfiguración del sistema es parte de la gestión de vulnerabilidades.

Para obtener más información sobre el software más reciente y detalles, consulte descargas y Actualización de cRPD.

Puertos de seguridad

Los puertos de servicio que tienen privilegiar su uso son:

  • Asegúrese de que solo se ejecutan los puertos BGP aprobados (TCP 179), SSH (TCP 22), Netconf sobre SSH (TCP 830) y gRPC para telemetría (TCP 50051), protocolos y servicios con necesidades empresariales validadas. Por ejemplo, los equilibradores de carga HTTP y HTTPS tienen que enlazar (TCP 80) y (TCP 443) respectivamente.

  • Los números de puerto TCP/IP inferiores a 1024 se consideran puertos privilegiados. Evite asignar cualquier puerto por debajo de 1024 dentro de un contenedor a medida que transmiten datos confidenciales. De forma predeterminada, Docker asigna puertos de contenedor a uno que está dentro del rango 49153–65525, pero permite que el contenedor se asigne a un puerto privilegiado.