Kontejnerizace, sandboxing a izolace aplikací

Ať už tomu budeme říkat kontejnerizace, sandboxing nebo také izolace aplikací, tak jde o to, že každá aplikace by měla běžet pod svým vlastním neprivilegovaným účtem, který má jen omezený přístup k souborovému systému.

To, v čem se od sebe jednotlivá řešení liší, je, jak bezpečné je samotné řešení starající se o onu izolaci. A zda je kromě omezení přístupu k částem souborového systému možné s jeho pomocí omezit i přístup dané aplikace k ostatním běžícím aplikacím a službám a jejich vzájemnou komunikaci.

Další rozdíly pak spočívají v implementaci a deploymentu vlastních aplikací do tohoto prostředí. Z pohledu bezpečnosti je třeba zajistit, aby bylo možné:

  • provádět efektivní monitoring dané aplikace, resp. všech aplikací, které se nacházejí v image;
  • skenovat zranitelnosti dané aplikace, resp. všech aplikací, které se nacházejí v image;
  • nasazovat patche, což si může vyžádat úpravu stávajícího procesu, protože se bude muset buď nasadit patch přímo anebo vytvořit nový image.

V okamžiku, kdy je aplikace dodávána jako image, tak může obsahovat jak vlastní aplikaci, tak i další aplikace nezbytné pro její běh, např. knihovny, interpreter, runtime, ale i webový, aplikační a databázový server. Největším rizikem kontejnerů jsou:

  • kernel exploity (kompromitací host OS je možné napadnout všechny kontejnery);
  • DDoS (aplikace sdílí stejné zdroje, takže útok na jednu aplikaci může ovlivnit i všechny ostatní);
  • privilege escalation (může být provedena eskalace privilegií, která může umožnit únik z kontejneru);
  • otrávené image (měly by se stahovat jen kontejnery z důvěryhodných zdrojů a verifikovat);
  • staré kontejnery (kontejnery mohou obsahovat závažné zranitelnosti).

Pak je zde ještě specifické riziko pro kontrolované prostředí, kdy může být zneužito skutečnosti, že např. v Dockeru, který k tomu není primárně určen a ani není pro toto vhodný, lze za určitých podmínek rozjet i vlastní instanci OS, která, kdyby využila konektivity do internetu a zároveň trpěla nějakou zranitelností, tak by tato zranitelnost mohla být zneužita a následně by mohl být kompromitován i jinak dobře zabezpečený host OS.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,

  1. Miroslav Čermák

    Zde je popsán konkrétní případ: https://thehackernews.com/2020/06/cryptocurrency-docker-image.html


K článku “Kontejnerizace, sandboxing a izolace aplikací” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: