Хранение секретов в контейнерных образах

Зона ответственности: Printum

Коротко: Контейнерные образы Printum не содержат встроенных паролей, токенов, ключей API и других аутентификационных данных. Конфиденциальные параметры передаются в контейнеры во время запуска через переменные окружения.

Требование

Контейнерные образы не должны содержать аутентификационные данные, токены доступа, пароли и иные секреты в открытом виде.

Секреты должны передаваться в приложение отдельно от образа контейнера и не входить в состав публикуемых артефактов.

Как это реализовано в Printum

Production-образы Мониторинга и ПринтМенеджера не содержат встроенных паролей, токенов, ключей API и иных аутентификационных данных.

При сборке образов в них не копируются файлы конфигурации, содержащие секреты, включая файлы переменных окружения и ключи доступа.

Конфиденциальные параметры передаются контейнерам во время запуска через переменные окружения, определяемые в файлах конфигурации развертывания.

Для production-развертывания используются файлы .env, подключаемые средствами контейнерной платформы. В образах отсутствуют встроенные значения паролей баз данных, токенов интеграций и иных учётных данных.

Контейнерные образы публикуются отдельно от конфигурации конкретного заказчика и могут использоваться в различных инсталляциях без хранения индивидуальных секретов внутри образа.

Что требуется от инфраструктуры

Управление секретами, защита файлов конфигурации и контроль доступа к переменным окружения выполняются средствами инфраструктуры заказчика.

Конкретный способ хранения и передачи секретов определяется правилами эксплуатации и требованиями информационной безопасности организации.

Совместимость с антивирусным ПО

Атрибутный состав записи в журнале

Аудит действий администраторов

Журналы без чувствительных данных

Защита журналов от изменения и доступ к журналам

Мониторинг и анализ событий безопасности

Передача событий в SIEM

Перечень регистрируемых событий безопасности

Синхронизация времени (NTP)

Мандатное управление доступом

Профили безопасности

Хранение паролей в хэшированном и зашифрованном виде

Rootless режим контейнера

Отсутствие SUID-SGID файлов и утилит повышения привилегий

Соответствие рекомендациям CIS Benchmark

Фиксированные теги контейнерных образов

Хранение секретов в контейнерных образах

Контроль целостности ПО и конфигурационных файлов

Механизмы резервного копирования и восстановления

Использование небезопасных сетевых протоколов

Сегментация сети и зоны безопасности

Анонимный доступ запрещён

Блокировка и управление учётными записями

Доменная аутентификация и единый вход (SSO)

Идентификация и аутентификация пользователей

Парольная политика

Ролевая модель RBAC

Тайм-аут сессии и автоматическое завершение сеанса

Технические учётные записи

Использование СКЗИ и ГОСТ-криптографии

Управление сертификатами

Шифрование каналов связи

Хранение секретов в контейнерных образах

Требование

Как это реализовано в Printum

Что требуется от инфраструктуры