Docker מציגה images מוקשחים: מאובטחים, מינימלים ומוכנים ל- Production

Getting your Trinity Audio player ready...

חברת Docker הציגה לאחרונה שירות חדש – Docker Hardened Images (DHI) :
אלו images של קונטיינרים המאובטחים כברירת מחדל,
שנבנו במיוחד עבור סביבות Production וסביבות ייצור מודרניות.

בתאריך 21/10 קיימנו וובינר מיוחד על מה חדש ב- Docker , בהשתתפות חברת Docker (אותה אנו מייצגים). ההקלטה זמינה כאן.

ה- images האלו הם הרבה יותר מסתם רזים או מינימליים.
Docker Hardened Images מתחילים עם משטח תקיפה (Attack surface) מופחת באופן דרמטי,
עד 95% קטן יותר, כדי להגביל את החשיפה מהרגע הראשון ומלכתחילה.

Docker מתחזקת את ה- images, ומעדכנת אות באופן רציף כדי להבטיח קרוב לאפס פגיעויות ידועות (CVEs).
ה- images תומכים בהפצות נפוצות כמו Alpine ו-Debian,
כך שצוותים יכולים לשלב אותם ללא צורך בכלים חדשים או פגיעה בתאימות.
בנוסף, הם מתוכננים לעבוד בצורה חלקה עם הכלים שכבר משתמשים בהם:
חברת Docker יצרה שותפויות עם מגוון פלטפורמות אבטחה ו-DevOps מובילות, כולל Microsoft, NGINX, Sonatype, GitLab, Wiz, Grype, Neo4j, JFrog, Sysdig ו-Cloudsmith,
כדי להבטיח אינטגרציה חלקה עם כלי סריקה, Container Registries ו- CI/CD pipelines.

צפו בסקירה קצרה על Docker Hardened Images (פחות בדקה):

מה מספקים Docker Hardened Images ?

Docker Hardened Images אינם רק גרסאות מצומצמות של קונטיינרים קיימים –
הם נבנו מהיסוד מתוך מחשבה על אבטחה, יעילות ושימושיות בעולם האמיתי. הם מתוכננים לפגוש את צוותי הפיתוח וה- DevOps בעבודתם השוטפת.
בכך הם מספקים ערך בשלושה תחומים חיוניים:

1. מיגרציה חלקה (Seamless Migration)

ראשית, הם משתלבים באופן חלק בתהליכי עבודה קיימים. בניגוד ל- images מינימליים או "מאובטחים" אחרים שמאלצים צוותים לשנות מערכות הפעלה (OS), לשכתב Dockerfiles, או לנטוש את הכלים שלהם, DHI תומכים בהפצות שמפתחים כבר משתמשים בהן, כולל גרסאות מוכרות של Debian ו-Alpine.
למעשה, השדרוג ל- DHI יכול להיות פשוט. המעבר ל- image מוקשח פשוט כמו עדכון שורה אחת בקובץ ה-Dockerfile.

2. התאמה אישית גמישה (Flexible Customization)

שנית, ה- images המוקשחים יוצרים את האיזון הנכון בין אבטחה לגמישות. אבטחה לא צריכה לבוא על חשבון שימושיות. DHI תומכים בהתאמות אישיות שצוותים מסתמכים עליהן, כולל תעודות (certificates), חבילות, סקריפטים וקבצי תצורה, מבלי להתפשר על היסוד המוקשח.
המשתמשים מקבלים את רמת האבטחה שאתם צריכים עם הגמישות להתאים אימג'ים לסביבה שלכם.

מתחת למכסה המנוע, Docker Hardened Images פועלים לפי פילוסופיית "distroless",
ומסירים רכיבים מיותרים כמו shells, מנהלי חבילות וכלי debug שבדרך כלל מציגים סיכון.
למרות שתוספות אלו עשויות להיות מועילות במהלך הפיתוח,
הן מרחיבות משמעותית את משטח התקיפה בסביבת Production,
מאטות את זמני האתחול ומסבכות את ניהול האבטחה.
על ידי הכללת תלויות הריצה החיוניות בלבד הדרושות להפעלת האפליקציה שלכם, DHI מספקים קונטיינרים רזים ומהירים יותר, שקל יותר לאבטח ולתחזק.
תכנון ממוקד ומינימלי זה מוביל להפחתה של עד 95% במשטח התקיפה, ומעניק לצוותים עמדת אבטחה חזקה באופן דרמטי מהרגע הראשון.

3. עדכוני אבטחה אוטומטיים ותגובה מהירה לפגיעויות (CVE)

לבסוף, עדכוני אבטחה וגרסאות הם רציפים ואוטומטיים. Docker מנטרת מקורות חיצוניים, חבילות OS ו-CVEs בכל התלויות. כאשר עדכונים משוחררים, אימג'י DHI נבנים מחדש, עוברים בדיקות מקיפות ומתפרסמים עם אישורים חדשים (attestations) – מה שמבטיח שלמות ועמידה בתקנים בתוך מערכת הבנייה שלנו, התואמת ל-SLSA Build Level 3. התוצאה: אתם תמיד מריצים את הגרסה המאובטחת והמאומתת ביותר – ללא צורך בהתערבות ידנית. והכי חשוב, כאשר רכיבים חיוניים נבנים ישירות מהמקור, זה מאפשר לספק עדכוני אבטחה קריטיים מהר יותר ולתקן פגיעויות באופן מיידי.
חברת Docker מתחייבת ל- SLA שבו היא תתקן פגיעויות CVE בדרגת חומרה קריטית וגבוהה תוך 7 ימים –
מהר יותר מזמני התגובה המקובלים בתעשייה – ומגבים הכל ב-SLA ברמת enterprise לשקט נפשי נוסף.

4. FedRAMP‑ready variants (FIPS‑enabled, STIG‑ready)

אם אתם פועלים לקבלת הסמכת FedRAMP, עמידה בתקני אבטחה קפדניים כמו FIPS ו-STIG אינה אופציונלית – היא קריטית למשימה. אבל הקשחה של images של קונטיינרים באופן ידני לוקחת המון זמן, מצריכה תחזוקה אינסופית ומועדת לטעויות אנוש.

כעת, Docker Hardened Images מוצעים עם גרסאות מוכנות ל-FedRAMP (FedRAMP-ready), שתוכננו להתאים "ישירות מהקופסה" לדרישות האבטחה הפדרליות של ארה"ב.
אימג'ים אלה מאופשרי FIPS (FIPS-enabled) לאכיפה קריפטוגרפית חזקה ומאומתת,
STIG-ready עם הגדרות ברירת מחדל מאובטחות המשולבות בהם, ומסופקים עם רשימות חומרי תוכנה (SBOMs) חתומות ואישורים לצורך ביקורת (auditability) מלאה.

הדגמה קצרה כאן (דקה אחת):

לסיכום:

Docker Hardened images מאפשר שימוש ב- images מאובטחים מלכתחילה,
חוסך זמן רב בהכנתם, מצמצם את זמן ההורדה והטעינה של ה- images
(משום שהם הוקטנו לגודל המינימלי האפשרי) ומונע חשיפה רבה לפגיעויות ב- production ובזמן ריצה.

לפרטים נוספים בנוגע לרכישה ולקבלת trial ניתן לפנות אלינו.

קישורים רלוונטים:

• אנו מייצגים את Docker בישראל
• מה זה Docker Desktop ?
• כדאי לבדוק: שינויים ב- Bitnami Catalog עלולים להשפיע על ה- CI/CD שלכם

חברתנו ALM Toolbox היא הנציגה הרשמית של Docker בישראל (בדרגת "Preferred Partner" הגבוהה ביותר) ומציעה תמיכה בנושא, סיוע בבחירת הרישוי המתאים, מכירת רישוי Docker כמו גם עזרה בהקשחת containers ו- CI/CD pipelines ותכנון תהליכי DevOps, DevSecOps ו- AppSec.
לפרטים נוספים פנו אלינו במייל docker@almtoolbox.com
או התקשרו 072-240-5222

פרסום ראשון: מאי 2025. עדכון אחרון: אוקטובר 2025.