1. Saiba como criar imagens de contêiner seguras para o OCI Functions
  2. Saiba Mais Sobre a Criação de Imagens de Contêiner Protegidas para o Serviço OCI Functions

Saiba Mais Sobre a Criação de Imagens de Contêiner Protegidas para o Serviço OCI Functions

Como prática recomendada de segurança, OS clientes estão usando scanners de vulnerabilidade para verificar imagens do Container Registry, como patches críticos do sistema operacional. Os scanners de vulnerabilidade ajudam a identificar e corrigir vulnerabilidades em imagens de contêiner antes que elas possam ser exploradas e ajudam a evitar violações de segurança, vazamentos de dados e outros compromissos de segurança. Quando você cria ou implanta uma função com o OCI Functions, uma imagem do Docker é criada e enviada para um registro do Docker. Os scanners de vulnerabilidade verificam e relatam vulnerabilidades para imagens e relatam vários níveis de risco.

Neste manual de soluções, compartilhamos as melhores práticas para criar imagens com segurança para o registro do Docker.

Arquitetura

Os Dockerfiles padrão são criados a partir de uma imagem de linha de base (fnproject/python:3.9-dev) e podem estar faltando as versões mais recentes dos pacotes dependentes.

Aqui estão alguns motivos pelos quais as verificações de imagem do contêiner são importantes e devem ser corrigidas se alguma vulnerabilidade for detectada:

  • Detecção antecipada: A verificação de imagens durante a fase de criação ajuda a identificar vulnerabilidades antes que elas possam ser implantadas na produção.
  • Custo-benefício: Corrigir vulnerabilidades antecipadamente é mais barato do que corrigi-las após a implantação.
  • Reduz a superfície de ataque: As imagens do contêiner são compostas de várias camadas, cada uma das quais pode conter vulnerabilidades. A verificação ajuda a identificar e tratar essas vulnerabilidades.
  • Melhora a postura de segurança: O uso de imagens básicas mínimas e bem mantidas de fontes confiáveis pode ajudar a melhorar a postura de segurança.

O diagrama a seguir ilustra o workflow dessa arquitetura de referência usando um Dockerfile padrão.


Veja a seguir a descrição da build-container-image-oci-functions-default-docker.png
Descrição da ilustração build-container-image-oci-functions-default-docker.png

build-container-image-oci-functions-default-docker.zip

O diagrama a seguir ilustra o workflow dessa arquitetura de referência usando um Dockerfile personalizado.


Veja a seguir a descrição da compilação-container-image-oci-functions-custom-docker.png
Descrição da ilustração build-container-image-oci-functions-custom-docker.png

build-container-image-oci-functions-custom-docker.zip

Essa arquitetura suporta os seguintes componentes:

  • Região

    Região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominada domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou até mesmo continentes).

  • Tenancy

    Uma tenancy é uma partição segura e isolada que a Oracle configura no Oracle Cloud quando você se inscreve no Oracle Cloud Infrastructure. Você pode criar, organizar e administrar seus recursos no Oracle Cloud em sua tenancy. Uma tenancy é sinônimo de uma empresa ou organização. Normalmente, uma empresa terá uma única locação e refletirá sua estrutura organizacional dentro dessa locação. Uma única tenancy geralmente é associada a uma única assinatura, e uma única assinatura geralmente só tem uma tenancy.

  • Registro

    O Oracle Cloud Infrastructure Registry é um registro gerenciado pela Oracle que permite simplificar seu desenvolvimento para o workflow de produção. O registro facilita o armazenamento, o compartilhamento e o gerenciamento de artefatos de desenvolvimento, como imagens do Docker. A arquitetura altamente disponível e escalável do Oracle Cloud Infrastructure garante que você possa implantar e gerenciar seus aplicativos de forma confiável.

  • Funções

    O Oracle Cloud Infrastructure Functions é uma plataforma Functions-as-a-Service (FaaS) totalmente gerenciada, multitenant, altamente escalável e sob demanda. Ele é alimentado pelo mecanismo de código aberto do Fn Project. As funções permitem que você implante seu código e o chame diretamente ou acione-o em resposta a eventos. O Oracle Functions usa contêineres do Docker hospedados no Oracle Cloud Infrastructure Registry.

  • Streaming

    O Oracle Cloud Infrastructure Streaming fornece uma solução de armazenamento totalmente gerenciada, escalável e durável para ingestão de streams contínuos de alto volume de dados que você pode consumir e processar em tempo real. Você pode usar o serviço Streaming para ingestão de dados de alto volume, como logs de aplicativo, telemetria operacional, dados de fluxo de cliques na Web ou para outros casos de uso nos quais os dados são produzidos e processados de forma contínua e sequencial em um modelo de mensagem de publicação/inscrição.

  • Vulnerability Scanning Service

    O Serviço de Verificação de Vulnerabilidade do Oracle Cloud Infrastructure ajuda a melhorar a postura de segurança no Oracle Cloud verificando regularmente se há vulnerabilidades potenciais nas portas e nos hosts. O serviço gera relatórios com métricas e detalhes sobre essas vulnerabilidades.

Sobre a Criação de Imagens de Contêiner para o Serviço OCI Functions

A função nesta solução é criada como uma imagem do Docker e enviada para um registro especificado do Docker, portanto, é realmente a imagem do contêiner que precisa ser corrigida. As imagens atualizadas geralmente incluem novos recursos, melhorias de desempenho e otimizações. A atualização de imagens garante a compatibilidade com as bibliotecas e dependências de software mais recentes e também corrige vulnerabilidades que podem ser exploradas por atores maliciosos para obter acesso não autorizado a dados ou recursos confidenciais. A atualização de imagens ajuda a permanecer em conformidade com os padrões e regulamentos do setor.