Kontejnerizace, sandboxing a izolace aplikací

Ať už tomu budeme říkat kontejnerizace, sandboxing nebo také izolace aplikací, tak jde o to, že každá aplikace by měla běžet pod svým vlastním neprivilegovaným účtem, který má jen omezený přístup k souborovému systému.

To, v čem se od sebe jednotlivá řešení liší, je, jak bezpečné je samotné řešení starající se o onu izolaci. A zda je kromě omezení přístupu k částem souborového systému možné s jeho pomocí omezit i přístup dané aplikace k ostatním běžícím aplikacím a službám a jejich vzájemnou komunikaci.

Další rozdíly pak spočívají v implementaci a deploymentu vlastních aplikací do tohoto prostředí. Z pohledu bezpečnosti je třeba zajistit, aby bylo možné:

  • provádět efektivní monitoring dané aplikace, resp. všech aplikací, které se nacházejí v image;
  • skenovat zranitelnosti dané aplikace, resp. všech aplikací, které se nacházejí v image;
  • nasazovat patche, což si může vyžádat úpravu stávajícího procesu, protože se bude muset buď nasadit patch přímo anebo vytvořit nový image.

V okamžiku, kdy je aplikace dodávána jako image, tak může obsahovat jak vlastní aplikaci, tak i další aplikace nezbytné pro její běh, např. knihovny, interpreter, runtime, ale i webový, aplikační a databázový server. Největším rizikem kontejnerů jsou:

  • kernel exploity (kompromitací host OS je možné napadnout všechny kontejnery);
  • DDoS (aplikace sdílí stejné zdroje, takže útok na jednu aplikaci může ovlivnit i všechny ostatní);
  • privilege escalation (může být provedena eskalace privilegií, která může umožnit únik z kontejneru);
  • otrávené image (měly by se stahovat jen kontejnery z důvěryhodných zdrojů a verifikovat);
  • staré kontejnery (kontejnery mohou obsahovat závažné zranitelnosti).

Pak je zde ještě specifické riziko pro kontrolované prostředí, kdy může být zneužito skutečnosti, že např. v Dockeru, který k tomu není primárně určen a ani není pro toto vhodný, lze za určitých podmínek rozjet i vlastní instanci OS, která, kdyby využila konektivity do internetu a zároveň trpěla nějakou zranitelností, tak by tato zranitelnost mohla být zneužita a následně by mohl být kompromitován i jinak dobře zabezpečený host OS.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky: , ,

  1. Miroslav Čermák

    Zde je popsán konkrétní případ: https://thehackernews.com/2020/06/cryptocurrency-docker-image.html


K článku “Kontejnerizace, sandboxing a izolace aplikací” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: