Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | |||
technique:tech_team:traefik [2021/11/16 00:56] – qduchemi | technique:tech_team:traefik [2023/01/08 22:12] (Version actuelle) – pourquoi ajouter docker-socket-proxy ? ppom | ||
---|---|---|---|
Ligne 92: | Ligne 92: | ||
< | < | ||
+ | |||
+ | ### Point sécurité : réduction de la surface d' | ||
+ | |||
+ | 1. Traefik est un service critique pour la sécurité de nos services : c'est un des seuls services qui est accessible en première ligne depuis Internet. | ||
+ | De tous nos services, c'est un de ceux qui peut être le plus plausiblement compromis. | ||
+ | |||
+ | 2. Pour avoir la liste des autres conteneurs Docker, Traefik se connecte normalement via la socket d' | ||
+ | C'est une permission accordée que très exceptionnellement à un conteneur, car elle donne tous les droits sur Docker, et donc les droits `root` par extension. | ||
+ | |||
+ | Pour éviter de donner trop de permissions à Traefik, on utilise un [intermédiaire](https:// | ||
+ | Cet intermédiaire n'est pas accessible depuis le monde extérieur, donc difficile à compromettre. | ||
+ | Il ne va autoriser que les requêtes légitimes de Traefik (lister les conteneurs) et interdire toute autre tentative de connexion (créer ou supprimer un conteneur, un volume, etc). | ||
### Et plus concrètement ? | ### Et plus concrètement ? | ||
C'est parti pour un peu plus de pratique sur la [[technique: | C'est parti pour un peu plus de pratique sur la [[technique: |