أمن الحاويات حاسم مع تشغيل مزيد من المؤسسات لأحمال الإنتاج في حاويات. في 2026، يُعدّ نهج الدفاع المتعمّق (defense-in-depth) الذي يغطّي الصور ووقت التشغيل والتنسيق أمراً أساسياً.
صور أساس آمنة
# Use minimal, verified base images
FROM gcr.io/distroless/nodejs:18
# Never run as root
USER nonroot
# Don't include secrets in images
COPY --chown=nonroot:nonroot ./app /appفحص الصور
# Scan for vulnerabilities in CI
trivy image myapp:latest
grype myapp:latest
# Block deployment of vulnerable images
# with admission controllersأمن وقت التشغيل
- أنظمة ملفات للقراءة فقط: تمنع التعديلات وقت التشغيل
- منع تصعيد الامتيازات: أسقط جميع القدرات
- حدود الموارد: تمنع هجمات استنزاف الموارد
- سياسات الشبكة: تقيّد اتصال الحاويات
أمن Kubernetes
apiVersion: v1
kind: Pod
spec:
securityContext:
runAsNonRoot: true
readOnlyRootFilesystem: true
allowPrivilegeEscalation: false
containers:
- name: app
securityContext:
capabilities:
drop: ["ALL"]إدارة الأسرار
- استخدم مشغّلات أسرار خارجية (HashiCorp Vault، AWS Secrets Manager)
- دوّر الأسرار بانتظام
- لا تُودِع الأسرار أبداً في الصور أو المستودعات
المراقبة والاستجابة
طبّق مراقبة أمن وقت التشغيل بأدوات مثل Falco لاكتشاف السلوك المشبوه والاستجابة للحوادث الأمنية في الوقت الفعلي.
التعليقات (0)
اترك تعليقًا
لا توجد تعليقات بعد. كن أول من يشارك أفكاره!