Attualmente sto ricercando il monitoraggio della sicurezza negli ambienti Docker e desidero esplorare la possibilità di utilizzare osquery per raccogliere attività dai contenitori, ma ho eseguito in un po 'di un dilemma di sicurezza che vorrei alcuni pensieri e feedback su:
L'esecuzione di osquery su ogni contenitore Docker nell'infrastruttura fornirebbe un'eccellente consapevolezza della situazione, ma sfortunatamente l'osquery non può essere eseguito su Alpine Linux distro, il che significa che l'intera flotta di container Docker dovrebbe essere basata su immagini molto più gonfie come Debian o Ubuntu con una superficie di attacco molto più grande e possibilità per un attaccante, se ottengono l'accesso a un contenitore.
È pratica comune mettere l'osquery sui contenitori, o dovrebbero semplicemente essere trattati come animali stupidi con una superficie di attacco minima che può essere sparata se mostra segni di stranezza, e poi avere un monitoraggio avanzato sulle macchine host Docker?