ปัญหาทั่วไปของการใช้ Container Image มาตรฐานในองค์กรคือการถูกระบบสแกนความปลอดภัยบล็อกเนื่องจากตรวจพบช่องโหว่ (CVE) ในแพ็กเกจพื้นฐานที่ตัวแอปพลิเคชันไม่ได้ใช้งานจริง เช่น ใน Ubuntu base image ของ ClickHouse Docker จึงนำเสนอ Docker Hardened Images (DHI) ที่สร้างขึ้นจากการคัดเลือกเฉพาะสิ่งที่ ClickHouse จำเป็นต้องใช้จริงๆ เท่านั้น โดยการตัดเครื่องมืออย่าง apt, curl และ wget ออก ทำให้ลดพื้นที่การโจมตี (Attack Surface) ลงอย่างมาก นอกจากนี้ DHI ยังทำงานด้วยสิทธิ์ Non-root และมาพร้อมกับการรับรอง SLSA Level 3 เพื่อยืนยันความถูกต้องของที่มาซอฟต์แวร์
SOFTWARE ENGINEERING
Docker เปิดตัว Docker Hardened Images สำหรับ ClickHouse เพื่อความปลอดภัยระดับโปรดักชัน
Key Takeaways
- Docker Hardened Images เปลี่ยนแนวคิดจากการใช้ Image พื้นฐานขนาดใหญ่ มาเป็นการใช้ Image ที่ปรับแต่งให้เหลือเฉพาะส่วนที่จำเป็นเพื่อกำจัดช่องโหว่ส่วนเกิน
ทำไมเรื่องนี้ถึงสำคัญ
ช่วยแก้ปัญหาคอขวดในกระบวนการ CI/CD ที่มักถูกทีม Security บล็อกเนื่องจากช่องโหว่ที่ไม่เกี่ยวข้องกับตัวแอปพลิเคชัน ช่วยให้การ Deploy ระบบทำได้เร็วขึ้นและปลอดภัยกว่าเดิม
สรุปประเด็นหลัก
DHI สำหรับ ClickHouse ตัดแพ็กเกจที่ไม่จำเป็นออกเพื่อลดช่องโหว่ด้านความปลอดภัย
Image ทำงานด้วยสิทธิ์ Non-root และได้รับการรับรอง SLSA Level 3
ช่วยลดภาระงานของทีมพัฒนาในการตอบคำถามทีม Security เกี่ยวกับ CVE ที่ไม่ได้ใช้งานจริง
นวัตกรรมและเทคโนโลยี
infrastructure
Minimal Runtime Image
Image ที่ไม่มีตัวจัดการแพ็กเกจและเครื่องมือเครือข่าย เพื่อลดช่องโหว่และการติดตั้งเครื่องมือจากผู้ไม่หวังดี
security
SLSA Level 3 Attestation
การรับรองความปลอดภัยของที่มาซอฟต์แวร์และการสร้าง Image ที่สามารถตรวจสอบย้อนกลับได้
Developer Impact
ทีม DevOps สามารถลดระยะเวลาในการตรวจสอบความปลอดภัยของ Container ได้ทันที โดยเปลี่ยนมาใช้ Image ที่ผ่านการ Hardening มาแล้วเพื่อลดผลการสแกนช่องโหว่ที่เป็น False Positive
Keywords
Original Source
Docker 