Латаем огрехи в образах приложений до рантайма, во время и после

Обычная ситуация — вам достался только сам образ (предоставил вендор, легаси или open source). Вы просканировали его и — «сюрприз, сюрприз» — обнаружилось, что он совсем не соответствует best practice безопасности: большое количество уязвимостей, мисконфигураций, захардкоженых секретов.

И вам придется работать с этим образом, а исходные файлы проекта и Dockerfile недоступны! Это печально! Но мы сделаем так, чтобы использование образа было безопасным.

Внесем изменения на уровне самого образа, применяя модификации слоев с помощью docker-squash, mint и т. д. «Подкрутим» рантайм на уровне операционной системы и Kubernetes: AppArmor, capabilities, управление привилегиями и другие «ручки». Рассмотрим наблюдение за аномальным поведением контейнеров в рантайме: Falco, NeuVector.

Сделаем все, чтобы использование контейнера было безопасным на всех уровнях!