Slogan Glitch Effect with Random Timing

Kontejnerizace, sandboxing a izolace aplikací

Publikováno: 05. 01. 2019, v rubrice: Bezpečnost, autor: , zobrazeno: 2 205x
🕒 2 min čtení

Ať už tomu budeme říkat kontejnerizace, sandboxing nebo také izolace aplikací, tak jde o to, že každá aplikace by měla běžet pod svým vlastním neprivilegovaným účtem, který má jen omezený přístup k souborovému systému.

To, v čem se od sebe jednotlivá řešení liší, je, jak bezpečné je samotné řešení starající se o onu izolaci. A zda je kromě omezení přístupu k částem souborového systému možné s jeho pomocí omezit i přístup dané aplikace k ostatním běžícím aplikacím a službám a jejich vzájemnou komunikaci.

Další rozdíly pak spočívají v implementaci a deploymentu vlastních aplikací do tohoto prostředí. Z pohledu bezpečnosti je třeba zajistit, aby bylo možné:

  • provádět efektivní monitoring dané aplikace, resp. všech aplikací, které se nacházejí v image;
  • skenovat zranitelnosti dané aplikace, resp. všech aplikací, které se nacházejí v image;
  • nasazovat patche, což si může vyžádat úpravu stávajícího procesu, protože se bude muset buď nasadit patch přímo anebo vytvořit nový image.

V okamžiku, kdy je aplikace dodávána jako image, tak může obsahovat jak vlastní aplikaci, tak i další aplikace nezbytné pro její běh, např. knihovny, interpreter, runtime, ale i webový, aplikační a databázový server. Největším rizikem kontejnerů jsou:

  • kernel exploity (kompromitací host OS je možné napadnout všechny kontejnery);
  • DDoS (aplikace sdílí stejné zdroje, takže útok na jednu aplikaci může ovlivnit i všechny ostatní);
  • privilege escalation (může být provedena eskalace privilegií, která může umožnit únik z kontejneru);
  • otrávené image (měly by se stahovat jen kontejnery z důvěryhodných zdrojů a verifikovat);
  • staré kontejnery (kontejnery mohou obsahovat závažné zranitelnosti).

Pak je zde ještě specifické riziko pro kontrolované prostředí, kdy může být zneužito skutečnosti, že např. v Dockeru, který k tomu není primárně určen a ani není pro toto vhodný, lze za určitých podmínek rozjet i vlastní instanci OS, která, kdyby využila konektivity do internetu a zároveň trpěla nějakou zranitelností, tak by tato zranitelnost mohla být zneužita a následně by mohl být kompromitován i jinak dobře zabezpečený host OS.

QR kód pro podporu

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Kontejnerizace, sandboxing a izolace aplikací. Online. Clever and Smart. 2019. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/kontejnerizace-sandboxing-a-izolace-aplikaci/. [cit. 2025-11-17].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Virtualizace vs. kontejnerizace
  2. Google Android: na co si dát pozor při instalaci aplikací z marketu
  3. Bezpečnost webových aplikací: SSDLC
  4. Bezpečnost webových aplikací: rychlé seznámení s OWASP
  5. Google Android: Jak nainstalovat aplikaci, která se nenachází na Google Play?

Štítky: , ,

1 komentářů

  1. Miroslav Čermák napsal:
    26. 06. 2020 (8:17 am)

    Zde je popsán konkrétní případ: https://thehackernews.com/2020/06/cryptocurrency-docker-image.html

K článku se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Text vaší reakce:

 

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil