Docker: проверка контейнеров на безопасность
О технологиях

Docker: проверка контейнеров на безопасность

3978
5 минут

Насколько безопасен Docker? В первые дни, ответ на этот вопрос у профессионалов был бы “не очень”. По справедливости, когда Docker впервые был запущен в 2013 году, ему определенно не хватало надежных функций безопасности и инструментов, позволивших бы ему обеспечить безопасность контейнеров на достаточном для Enterprise предприятий уровне.

С 2013 года многое изменилось. С одной стороны, сообщество Docker в настоящее время прилагает больше количество усилий по укреплению безопасности своего решения. А с другой, в зависимости от того, как именно организация намерена использовать контейнеры Docker, существуют дополнительные инструменты и подходы к проектированию, предназначенные для того, чтобы сделать использование Docker еще более безопасным.

Далее мы посмотрим на текущее состояние дел с безопасностью Docker, а также на то, что пользователи могут сделать, чтобы убедиться, что Docker является максимально безопасным в среде Enterprise.

Специализированные средства обеспечения безопасности Docker

Как только выросла популярность Docker, так сразу же и начали появляться инструменты для обеспечения безопасности контейнеров.

Одним из важных инструментов являются сканеры образов. На данный есть несколько проектов: Clair от CoreOS и Docker Security Scanning, которые интегрированы в Docker Hub и могут проверить наличие уязвимостей в образах автоматически, что экономит массу времени. Они могут также отправляют уведомления по электронной почте, когда уязвимость обнаружена и самостоятельно ищут доступные исправления.

Есть еще один пакет для обеспечения безопасности контейнеров — Twistlock. Он обеспечивает всесторонний подход к этому вопросу и охватывает множество областей безопасности. Он не только защищает контейнеры приложений, но и обеспечивает мониторинг, анализ и своевременное реагирование на угрозы. Twistlock является одним из немногих коммерчески доступных решений, которое сосредоточилось исключительно на обеспечении безопасности Docker.

Усилия Docker сообщества по защите контейнеров

Docker выпустил ряд обновлений для системы безопасности в течение последних нескольких лет, что решило множество вопросов безопасности, которые не позволяли предприятиям решиться использовать его в 2013 году. Эти разработки позволили облегчить использование Docker среди Enterprise и обеспечили стабильный рост популярности этой технологии.

Основные вопросы в области безопасности, которые отталкивали от Docker в первые дни были namespaces и cgroups. Namespaces обеспечивают наиболее простую форму изоляции между контейнерами, предотвращая их взаимодействия друг с другом. Namespaces дают возможность использовать различные привилегии, которые могут быть назначены различным пользователям.

Cgroups же ограничивают количество ресурсов, которые разрешено использовать каждому отдельному контейнеру. Они дают ограничить доступность к ресурсам, таким как память и процессор для каждого контейнера. К контейнерам можно применить жесткие ограничения, чтобы быть уверенным в том, что процессы будут убиты, если они начинают требовать слишком много ресурсов. Эта мера обеспечивает защиту от эксплуатации от внешнего источника.

В сообществе Docker также разработали Docker Bench, сценарий, который может проверить контейнеры и конфигурации безопасности своих хостов на соответствие с набором лучших практик, предоставленных Center for Internet Security.

Docker Swarm по состоянию на версию Docker 1.12 встроенный в Docker, также предоставляет некоторые функции безопасности. Он обеспечивает узлы, на которых установлен Docker поддержкой сертификатов Transport Layer Security (TLS) и шифрует обмен данными между ними.

И, наконец, поддержка в Docker функций доверия к содержимому контейнеров — очень элегантное решение обеспечения возможности проверки достоверности содержимого контейнеров.

Использование Docker от поставщиков услуг

Еще один способ увеличить безопасность Docker (особенно для организаций без большого опыта работы с Docker) — это использовать управляемые хостинг платформы для запуска Docker контейнеров. Данный подход обеспечивает удобство упрощенного управления и некоторые встроенные функции безопасности (в зависимости от поставщика конечной услуги).

У самого Docker есть коммерческий продукт Docker Datacenter (или Docker cloud product), который по заявлениям разработчиков является лучшим способом для запуска контейнеров, принадлежащих предприятию, если есть необходимость обеспечить дополнительную защиту Docker контейнеров, разместив их в ЦОД организации и закрыв их брандмауэром, управляемым самой организацией.

Выводы

В целом, глядя на то, как Docker улучшился за последние годы, можно смело сказать, что он значительно более безопасен сегодня по сравнению с тем, каким он был впервые увидя свет. Вообще говоря, опасения на тему безопасности Docker на ранних этапах его развития были разумными, однако, в настоящее время в Docker реализован целый ряда мер по обеспечению безопасности, которые делают его готовым для любого типа Enterprise предприятия.

13 февраля 2023
Замена игрока: выбираем альтернативу зарубежному системному ПО (взгляд облачного провайдера)

На поле ИТ сегодня захватывающая интрига – выбор адекватной замены зарубежным системам, производители которых массово вышли из игры. На онлайн-митапе поделились опытом подбора, внедрения и сопровождения решений, способных заместить платформу виртуализации, почту, файловое хранилище, каталог пользователей, backup и др.

Предлагаем вашему вниманию запись и расшифровку митапа.

2 минуты
2042
15 ноября 2022
OpenShift остался без поддержки – как решить проблему российским клиентам
Интерес к семейству ПО для контейнеризации OpenShift был довольно высоким в корпоративном сегменте в прежние годы. По данным мониторинговой службы Datadog, только за прошлый год во всем мире количество пользователей платформ от RedHat увеличилось на 28%. Весной IBM объявил об уходе из России и прекращении поддержки всех программных продуктов для текущих клиентов. Разберемся, насколько критичной оказалась данная ситуация для заказчиков, и какие варианты действий существуют, чтобы минимизировать возможные риски отключения от сервиса.
1 минута
948
25 февраля 2021
Свидетели DevOps: мифы и байки про девопсов и тех, кто их нанимает
Те, кто решил стать девопсом, видят в этой профессии заманчивые перспективы. Это новый уровень мышления, это творчество и возможность создавать, это безграничные просторы для самосовершенствования. Не секрет также, что девопсам хорошо платят. Вместе с тем, вокруг понятия DevOps сформировался некий культ, овеянный мифами и легендами.
1 минута
4230
4 декабря 2020
Дайджест обновлений Облака КРОК за осень 2020 г.
За осень в Облаке КРОК многое изменилось. Мы активно писали код и не успевали сообщать обо всех переменах. Постараемся исправиться и информировать вас ASAP, чтобы вы могли сразу же использовать новые фичи.
2 минуты
2313
scrollup