Kontejnerizace, sandboxing a izolace aplikací

Publikováno: 05. 01. 2019, v rubrice: Bezpečnost, autor: , zobrazeno: 1 631x

Ať už tomu budeme říkat kontejnerizace, sandboxing nebo také izolace aplikací, tak jde o to, že každá aplikace by měla běžet pod svým vlastním neprivilegovaným účtem, který má jen omezený přístup k souborovému systému.

To, v čem se od sebe jednotlivá řešení liší, je, jak bezpečné je samotné řešení starající se o onu izolaci. A zda je kromě omezení přístupu k částem souborového systému možné s jeho pomocí omezit i přístup dané aplikace k ostatním běžícím aplikacím a službám a jejich vzájemnou komunikaci.

Další rozdíly pak spočívají v implementaci a deploymentu vlastních aplikací do tohoto prostředí. Z pohledu bezpečnosti je třeba zajistit, aby bylo možné:

  • provádět efektivní monitoring dané aplikace, resp. všech aplikací, které se nacházejí v image;
  • skenovat zranitelnosti dané aplikace, resp. všech aplikací, které se nacházejí v image;
  • nasazovat patche, což si může vyžádat úpravu stávajícího procesu, protože se bude muset buď nasadit patch přímo anebo vytvořit nový image.

V okamžiku, kdy je aplikace dodávána jako image, tak může obsahovat jak vlastní aplikaci, tak i další aplikace nezbytné pro její běh, např. knihovny, interpreter, runtime, ale i webový, aplikační a databázový server. Největším rizikem kontejnerů jsou:

  • kernel exploity (kompromitací host OS je možné napadnout všechny kontejnery);
  • DDoS (aplikace sdílí stejné zdroje, takže útok na jednu aplikaci může ovlivnit i všechny ostatní);
  • privilege escalation (může být provedena eskalace privilegií, která může umožnit únik z kontejneru);
  • otrávené image (měly by se stahovat jen kontejnery z důvěryhodných zdrojů a verifikovat);
  • staré kontejnery (kontejnery mohou obsahovat závažné zranitelnosti).

Pak je zde ještě specifické riziko pro kontrolované prostředí, kdy může být zneužito skutečnosti, že např. v Dockeru, který k tomu není primárně určen a ani není pro toto vhodný, lze za určitých podmínek rozjet i vlastní instanci OS, která, kdyby využila konektivity do internetu a zároveň trpěla nějakou zranitelností, tak by tato zranitelnost mohla být zneužita a následně by mohl být kompromitován i jinak dobře zabezpečený host OS.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print
Související články:
  1. Virtualizace vs. kontejnerizace
  2. Google Android: na co si dát pozor při instalaci aplikací z marketu
  3. Bezpečnost webových aplikací: SSDLC
  4. Bezpečnost webových aplikací: rychlé seznámení s OWASP
  5. Google Android: Jak nainstalovat aplikaci, která se nenachází na Google Play?

Štítky: , ,

  1. Miroslav Čermák 26.06.2020, 08:17:18 napsal:

    Zde je popsán konkrétní případ: https://thehackernews.com/2020/06/cryptocurrency-docker-image.html

K článku “Kontejnerizace, sandboxing a izolace aplikací” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Témata
analýza rizik Android APT autentizace bankovní malware bezpečnostní incident buzzword BYOD cloud computing cybercrime DLP Flash GDPR hodnocení zranitelností HR hrozby informační bezpečnost internetové bankovnictví internetový marketing iOS IT governance IT náklady kryptografie kybernetická bezpečnost LinkedIn lámání hesel malware n-tier nové hrozby OTP phishing ransomware rizika rozhovor SEO smartphone socialní sítě strategický management tablety Testování SW Windows zranitelnosti zákon o kybernetické bezpečnosti řízení informační bezpečnosti řízení informačních rizik