DevSecOps

8 jan, 2019

Segurança em ambientes conteinerizados – Parte 01

Publicidade

A adoção de contêineres Docker está crescendo rapidamente – 83% das empresas de Cloud Computing públicas e privadas estão usando ou planejando usar o Docker. De acordo com a última pesquisa da RightScale, o Gartner prevê que até 2020 mais de 50% das organizações globais estarão executando aplicações em contêineres em produção.

No entanto, as preocupações com segurança continuam sendo um dos principais desafios. No mais recente estudo da Cloud Native Computing Foundation (CNCF), 43% dos entrevistados identificaram a segurança como o maior obstáculo na adoção de contêineres.

Entre os principais problemas de segurança, está o próprio daemon do Docker, que pode representar uma vulnerabilidade à segurança.

Para usar e executar os contêineres Docker, é usado o daemon do Docker, um ambiente de execução persistente para contêineres. O daemon do Docker requer privilégios de root, portanto, é necessário ter um cuidado maior ao escolher os usuários que terão acesso a esse processo e ao local onde ele residirá.

Para construir os contêineres, o Docker usa imagens que podem ser criadas e carregadas em repositórios públicos, como o Docker Hub, por organizações e usuários individuais.

O Docker Hub é o repositório oficial de imagens, que é mantido pela Docker, e com mais de 650.000 usuários registrados. Este é o maior host de imagens públicas do Docker. Ele também possui repositórios oficiais que são revisados ​​pela Docker. No entanto, o número de repositórios supera em muito os oficiais.

Como os repositórios no Docker Hub são atualizados e mantidos apenas pelos usuários, isso cria problemas com a segurança das imagens devido à falta de controle da Docker sobre a freqüência com que bibliotecas e aplicativos nessas imagens são atualizados.

As imagens podem passar meses sem atualizar, e se uma imagem estiver usando bibliotecas ou aplicativos desatualizados, ela poderá conter vulnerabilidades que poderiam comprometer o sistema de contêiner ou o sistema operacional do host.

Isso é um problema no uso de contêineres, uma vez que ele trabalha muito mais perto do sistema operacional host do que uma máquina virtual normal (VM).

Além disso, se um invasor fizer o upload de uma imagem contendo malware, isso pode permitir que o invasor acesse remotamente o aplicativo que um usuário tenha implantado.

Estas são algumas preocupações relacionadas a segurança que devemos ter ao implementar ambientes conteinerizados. Nos próximos artigos desta série apresentarei outros diversos estudos relacionados à segurança de contêineres.

Deixe um comentário abaixo com sugestões, dicas ou críticas. Obrigado pela leitura e um grande abraço!