technique:tech_team:traefik

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
technique:tech_team:traefik [2021/11/16 00:56] qduchemitechnique:tech_team:traefik [2023/01/08 22:12] (Version actuelle) – pourquoi ajouter docker-socket-proxy ? ppom
Ligne 92: Ligne 92:
  
 <bootnote warning>Tout conteneur qui ne se trouve pas dans le réseau `proxy` ne sera jamais pris en compte par Traefik.</bootnote> <bootnote warning>Tout conteneur qui ne se trouve pas dans le réseau `proxy` ne sera jamais pris en compte par Traefik.</bootnote>
 +
 +### Point sécurité : réduction de la surface d'attaque
 +
 +1. Traefik est un service critique pour la sécurité de nos services : c'est un des seuls services qui est accessible en première ligne depuis Internet.
 +De tous nos services, c'est un de ceux qui peut être le plus plausiblement compromis.
 +
 +2. Pour avoir la liste des autres conteneurs Docker, Traefik se connecte normalement via la socket d'administration Docker /var/run/docker.sock.
 +C'est une permission accordée que très exceptionnellement à un conteneur, car elle donne tous les droits sur Docker, et donc les droits `root` par extension.
 +
 +Pour éviter de donner trop de permissions à Traefik, on utilise un [intermédiaire](https://github.com/Tecnativa/docker-socket-proxy/) entre Traefik et la socket d'administration.
 +Cet intermédiaire n'est pas accessible depuis le monde extérieur, donc difficile à compromettre.
 +Il ne va autoriser que les requêtes légitimes de Traefik (lister les conteneurs) et interdire toute autre tentative de connexion (créer ou supprimer un conteneur, un volume, etc).
  
 ### Et plus concrètement ? ### Et plus concrètement ?
  
 C'est parti pour un peu plus de pratique sur la [[technique:tech_team:traefik_usage|page suivante]] ! C'est parti pour un peu plus de pratique sur la [[technique:tech_team:traefik_usage|page suivante]] !
  • technique/tech_team/traefik.1637020578.txt.gz
  • de qduchemi