Informationen zum Erstellen gesicherter Containerimages für OCI Functions
In diesem Lösungs-Playbook teilen wir Best Practices für die sichere Erstellung von Images für die Docker-Registry.
Architektur
Standard-Dockerfiles werden aus einem Baseline-Image erstellt (fnproject/python:3.9-dev) und möglicherweise fehlen die neuesten Versionen abhängiger Packages.
Im Folgenden finden Sie einige Gründe, warum Containerimagescans wichtig sind und behoben werden müssen, wenn Sicherheitslücken erkannt werden:
- Frühe Erkennung: Beim Scannen von Images während der Build-Phase können Sie Sicherheitslücken identifizieren, bevor sie in der Produktion bereitgestellt werden können.
- Kostengünstig: Die frühzeitige Behebung von Sicherheitslücken ist kostengünstiger als die Behebung nach dem Deployment.
- Reduziert Angriffsfläche: Containerimages bestehen aus mehreren Schichten, von denen jede Sicherheitslücken enthalten kann. Durch Scannen können diese Sicherheitslücken identifiziert und behoben werden.
- Verbessert die Sicherheitslage: Die Verwendung minimaler, gut gewarteter Basisimages aus vertrauenswürdigen Quellen kann zur Verbesserung der Sicherheitslage beitragen.
Das folgende Diagramm veranschaulicht den Workflow dieser Referenzarchitektur mit einer Standard-Dockerfile.
build-container-image-oci-functions-default-docker.zip
Das folgende Diagramm veranschaulicht den Workflow dieser Referenzarchitektur mit einer benutzerdefinierten Dockerfile.
build-container-image-oci-functions-custom-docker.zip
Diese Architektur unterstützt die folgenden Komponenten:
- Region
Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domain bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie trennen (über Länder oder sogar Kontinente).
- Tenancy
Ein Mandant ist eine sichere und isolierte Partition, die Oracle in Oracle Cloud einrichtet, wenn Sie sich für Oracle Cloud Infrastructure registrieren. Sie können Ihre Ressourcen in Oracle Cloud in Ihrem Mandanten erstellen, organisieren und verwalten. Ein Mandant ist ein Synonym für ein Unternehmen oder eine Organisation. In der Regel verfügt ein Unternehmen über einen einzigen Mandanten und spiegelt seine Organisationsstruktur innerhalb dieses Mandanten wider. Ein einzelner Mandant ist in der Regel mit einem einzelnen Abonnement verknüpft, und ein einzelnes Abonnement hat in der Regel nur einen Mandanten.
- Registrierung
Oracle Cloud Infrastructure Registry ist eine von Oracle verwaltete Registry, mit der Sie Ihren Workflow von der Entwicklung bis zur Produktion vereinfachen können. Die Registry erleichtert Ihnen das Speichern, Freigeben und Verwalten von Entwicklungsartefakten wie Docker-Images. Die hochverfügbare und skalierbare Architektur von Oracle Cloud Infrastructure stellt sicher, dass Sie Ihre Anwendungen zuverlässig bereitstellen und verwalten können.
- Funktionen
Oracle Cloud Infrastructure Functions ist eine vollständig verwaltete, mehrmandantenfähige, hoch skalierbare, bedarfsgesteuerte Functions-as-a-Service-(FaaS-)Plattform. Es wird von der Open-Source-Engine Fn Project angetrieben. Mit Funktionen können Sie Ihren Code bereitstellen und entweder direkt aufrufen oder als Reaktion auf Ereignisse auslösen. Oracle Functions verwendet Docker-Container, die in Oracle Cloud Infrastructure Registry gehostet werden.
- Streaming
Oracle Cloud Infrastructure Streaming bietet eine vollständig verwaltete, skalierbare und dauerhafte Speicherlösung zur Aufnahme kontinuierlicher Datenstreams mit hohem Volumen, die Sie in Echtzeit konsumieren und verarbeiten können. Sie können Streaming verwenden, um hochvolumige Daten wie Anwendungslogs, Betriebstechnik, Clickstream-Webdaten oder für andere Anwendungsfälle zu erfassen, bei denen kontinuierlich und sequenziell Daten in einem Publish-Subscribe-Nachrichtenmodell erzeugt und verarbeitet werden.
- Vulnerability Scanning Service
Der Oracle Cloud Infrastructure Vulnerability Scanning-Service trägt zu einer Verbesserung des Sicherheitsstatus in Oracle Cloud bei, indem er Ports und Hosts routinemäßig auf potenzielle Schwachstellen prüft. Der Service generiert Berichte mit Metriken und Details zu diesen Sicherheitslücken.