Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Prácticas recomendadas de seguridad

Las mejores prácticas necesarias para monitorear y proteger los entornos de contenedores son:

Endurecimiento del sistema operativo del host

El endurecimiento de un sistema operativo incluye:

  • Asegúrese de que tanto el sistema operativo host como el software Docker estén actualizados con los parches de seguridad más recientes.

  • Descargar imágenes de descargas.

  • Ejecute docker como usuario no root sin privilegios de root. Esto se llama modo sin raíz. En este modo, docker y contenedor se ejecutan dentro de un espacio de nombres de usuario. La ejecución de contenedores y los servicios de Docker Engine como usuarios no root mejora la seguridad en caso de una infracción.

  • Evite ataques DoS configurando la cantidad especificada de memoria y CPU necesarias para ejecutar los contenedores.

  • Evite usar sshd dentro de contenedores.

  • Evite usar el puente docker0 predeterminado de la suplantación de ARP y los ataques de inundación de MAC.

  • Establezca el sistema de archivos raíz del contenedor en de solo lectura para evitar ataques malintencionados.

  • Establezca el límite del identificador de proceso (PID). Cada proceso en el kernel lleva un PID único, y los contenedores aprovechan el espacio de nombres PID de Linux para proporcionar una vista separada de la jerarquía PID para cada contenedor. Limitar el número de procesos en el contenedor evita la generación excesiva de nuevos procesos y el posible movimiento lateral malicioso.

Administración de parches

La administración de revisiones implica identificar las características del sistema que se pueden mejorar o corregir, publicar el paquete de actualización y validar la instalación de las actualizaciones. La aplicación de parches con actualizaciones de software y la reconfiguración del sistema es parte de la gestión de vulnerabilidades.

Para obtener información sobre el software y los detalles más recientes, consulte Descargas y actualización de cRPD.

Puertos de seguridad

Los puertos de servicio privilegiados disponibles para su uso son:

  • Asegúrese de que cada sistema ejecute solo puertos y protocolos aprobados. Estos incluyen BGP (TCP 179), SSH (TCP 22), Netconf sobre SSH (TCP 830) y gRPC para telemetría (TCP 50051). Valide las necesidades empresariales para todos los servicios. Por ejemplo, los equilibradores de carga HTTP y HTTPS deben enlazarse (TCP 80) y (TCP 443) respectivamente.

  • Los números de puerto TCP/IP inferiores a 1024 se consideran puertos privilegiados. Evite asignar cualquier puerto por debajo de 1024 dentro de un contenedor, ya que transmiten datos confidenciales. De forma predeterminada, Docker asigna puertos de contenedor a uno que esté dentro del intervalo 49153–65525, pero permite que el contenedor se asigne a un puerto privilegiado.