Kontejnerizace, sandboxing a izolace aplikací
Ať už tomu budeme říkat kontejnerizace, sandboxing nebo také izolace aplikací, tak jde o to, že každá aplikace by měla běžet pod svým vlastním neprivilegovaným účtem, který má jen omezený přístup k souborovému systému.
To, v čem se od sebe jednotlivá řešení liší, je, jak bezpečné je samotné řešení starající se o onu izolaci. A zda je kromě omezení přístupu k částem souborového systému možné s jeho pomocí omezit i přístup dané aplikace k ostatním běžícím aplikacím a službám a jejich vzájemnou komunikaci.
Další rozdíly pak spočívají v implementaci a deploymentu vlastních aplikací do tohoto prostředí. Z pohledu bezpečnosti je třeba zajistit, aby bylo možné:
- provádět efektivní monitoring dané aplikace, resp. všech aplikací, které se nacházejí v image;
- skenovat zranitelnosti dané aplikace, resp. všech aplikací, které se nacházejí v image;
- nasazovat patche, což si může vyžádat úpravu stávajícího procesu, protože se bude muset buď nasadit patch přímo anebo vytvořit nový image.
V okamžiku, kdy je aplikace dodávána jako image, tak může obsahovat jak vlastní aplikaci, tak i další aplikace nezbytné pro její běh, např. knihovny, interpreter, runtime, ale i webový, aplikační a databázový server. Největším rizikem kontejnerů jsou:
- kernel exploity (kompromitací host OS je možné napadnout všechny kontejnery);
- DDoS (aplikace sdílí stejné zdroje, takže útok na jednu aplikaci může ovlivnit i všechny ostatní);
- privilege escalation (může být provedena eskalace privilegií, která může umožnit únik z kontejneru);
- otrávené image (měly by se stahovat jen kontejnery z důvěryhodných zdrojů a verifikovat);
- staré kontejnery (kontejnery mohou obsahovat závažné zranitelnosti).
Pak je zde ještě specifické riziko pro kontrolované prostředí, kdy může být zneužito skutečnosti, že např. v Dockeru, který k tomu není primárně určen a ani není pro toto vhodný, lze za určitých podmínek rozjet i vlastní instanci OS, která, kdyby využila konektivity do internetu a zároveň trpěla nějakou zranitelností, tak by tato zranitelnost mohla být zneužita a následně by mohl být kompromitován i jinak dobře zabezpečený host OS.
Štítky: informační bezpečnost, sand, virtualizace
K článku “Kontejnerizace, sandboxing a izolace aplikací” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Zde je popsán konkrétní případ: https://thehackernews.com/2020/06/cryptocurrency-docker-image.html