En savoir plus sur la création d'images de conteneur sécurisées pour le service des fonctions pour OCI

À titre de meilleure pratique en matière de sécurité, les clients utilisent des analyseurs de vulnérabilité pour balayer les images du registre de conteneurs, telles que les correctifs de système d'exploitation critiques. Les scanneurs de vulnérabilités aident à identifier et à corriger les vulnérabilités dans les images de conteneur avant qu'elles ne puissent être exploitées, et aident à prévenir les violations de sécurité, les fuites de données et d'autres compromissions de sécurité. Lorsque vous créez ou déployez une fonction avec le service des fonctions pour OCI, une image Docker est créée et poussée vers un registre Docker. Les analyseurs de vulnérabilités analysent et signalent les vulnérabilités à la recherche d'images et signalent divers niveaux de risque.

Dans ce livre de jeu de solutions, nous partageons les meilleures pratiques pour créer des images en toute sécurité pour le registre Docker.

Architecture

Les fichiers Dockerfiles par défaut sont créés à partir d'une image de référence (fnproject/python :3.9-dev) et il se peut qu'il manque les dernières versions des packages dépendants.

Voici quelques raisons pour lesquelles les balayages d'image de conteneur sont importants et doivent être corrigés si des vulnérabilités sont détectées :

• Détection précoce : Le balayage d'images pendant la phase de création aide à identifier les vulnérabilités avant leur déploiement en production.
• Rentabilité : Il est moins coûteux de corriger rapidement les vulnérabilités que de les corriger après le déploiement.
• Réduit la surface d'attaque : Les images de conteneur sont composées de plusieurs couches, chacune pouvant contenir des vulnérabilités. L'analyse permet d'identifier et de résoudre ces vulnérabilités.
• Améliore la sécurité : L'utilisation d'images de base minimales et bien entretenues provenant de sources fiables peut contribuer à améliorer la sécurité.

Le diagramme suivant illustre le flux de travail de cette architecture de référence à l'aide d'un fichier Dockerfile par défaut.

Description de l'illustration build-container-image-oci-functions-default-docker.png

build-container-image-oci-functions-default-docker.zip

Le diagramme suivant illustre le flux de travail de cette architecture de référence à l'aide d'un fichier Dockerfile personnalisé.

Description de l'illustration build-container-image-oci-functions-custom-docker.png

build-container-image-oci-functions-custom-docker.zip

Cette architecture prend en charge les composants suivants :

• Région

  Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres, et de grandes distances peuvent les séparer (dans différents pays ou continents).

• Location

  Une location est une partition sécurisée et isolée qu'Oracle configure dans Oracle Cloud lors de votre inscription à Oracle Cloud Infrastructure. Vous pouvez créer, organiser et administrer vos ressources dans Oracle Cloud au sein de votre location. Une location est synonyme d'une société ou d'une organisation. Habituellement, une société aura une seule location et reflétera sa structure organisationnelle au sein de cette location. Une seule location est généralement associée à un seul abonnement, et un seul abonnement n'a généralement qu'une seule location.

• Registre

  Oracle Cloud Infrastructure Registry est un registre géré par Oracle qui vous permet de simplifier votre flux de travail, du développement à la mise en production. Le registre vous permet de stocker, de partager et de gérer facilement des artefacts de développement, tels que des images Docker. L'architecture hautement disponible et évolutive d'Oracle Cloud Infrastructure vous permet de déployer et de gérer vos applications en toute confiance.

• Fonctions

  Oracle Cloud Infrastructure Functions est une plate-forme de fonctions-service (FaaS) sur demande, entièrement gérée, multilocataire et hautement évolutive. Il est alimenté par le moteur open source Fn Project. Les fonctions vous permettent de déployer votre code et de l'appeler directement ou de le déclencher en réponse à des événements. Oracle Functions utilise des conteneurs Docker hébergés dans Oracle Cloud Infrastructure Registry.

• Flux

  Le service de flux pour Oracle Cloud Infrastructure fournit une solution de stockage entièrement gérée, évolutive et durable pour les flux de données en continu à volume élevé que vous consommez et traitez en temps réel. Vous pouvez utiliser le service de flux pour l'ingestion de gros volumes de données, tels que les journaux d'application, les données de télémétrie opérationnelle, les données de flux liés aux clics Web, ou pour d'autres cas d'utilisation où les données sont produites et traitées en continu et séquentiellement dans un modèle de messagerie de messagerie de type publication-abonnement.

• Service de balayage de vulnérabilités

  Le service de balayage de vulnérabilité Oracle Cloud Infrastructure améliore la sécurité dans Oracle Cloud en vérifiant régulièrement si les ports et les hôtes présentent des vulnérabilités potentielles. Le service génère des rapports avec des mesures et des détails sur ces vulnérabilités.

À propos de la création d'images de conteneur pour le service des fonctions pour OCI

La fonction de cette solution est créée en tant qu'image Docker et poussée vers un registre Docker spécifié. C'est donc vraiment l'image de conteneur qui doit être corrigée. Les images mises à jour incluent souvent de nouvelles capacités, des améliorations de performance et des optimisations. La mise à jour des images garantit la compatibilité avec les dernières bibliothèques et dépendances logicielles, et corrige également les vulnérabilités qui pourraient être exploitées par des acteurs malveillants pour obtenir un accès non autorisé aux données ou ressources sensibles. La mise à jour des images permet de rester conforme aux normes et réglementations de l'industrie.