Tèarainteachd airson soithichean Docker

Thoir an aire. eadar-theangachadh.: Is dòcha gur e cuspair tèarainteachd Docker aon den fheadhainn shìorraidh ann an saoghal IT an latha an-diugh. Mar sin, gun mhìneachadh a bharrachd, bidh sinn a’ taisbeanadh eadar-theangachadh den ath thaghadh de mholaidhean buntainneach. Ma tha ùidh air a bhith agad sa chùis seo mu thràth, bidh mòran dhiubh eòlach ort. Chuir sinn ris a’ chruinneachadh fhèin le liosta de ghoireasan feumail agus grunn ghoireasan airson tuilleadh sgrùdaidh air a’ chùis.

Bheir mi gu d’ aire stiùireadh airson dèanamh cinnteach à tèarainteachd Docker. Tha fàilte air fios air ais, oir tha seo nas motha de chruinneachadh de earrannan bho dhiofar ghoireasan, agus chan eil iad uile air an ath-sgrùdadh gu mionaideach. Tha na molaidhean air an roinn ann an trì roinnean:

1. Ceumannan riatanach taobh a-staigh an t-siostam obrachaidh aoigheachd nuair a bhios tu ag obair le Docker;
2. Stiùireadh co-cheangailte ris an fhaidhle rèiteachaidh togail agus cruthachadh shoithichean;
3. Innealan tèarainteachd as urrainn amalachadh le feartan sònraichte Docker Enterprise.

Tha an stiùireadh stèidhichte air measgachadh de ghoireasan, agus tha mòran dhiubh air an liostadh gu h-ìosal. Chan eil e coileanta, ach tha e a’ còmhdach a h-uile bunait. Gheibhear fiosrachadh a bharrachd ann an tuairisgeul deuchainn CIS (ceangailte aig deireadh an iùil seo), a bharrachd air ann an sgrìobhainnean Docker.

Slat-tomhais tèarainteachd Docker

Docker Bench airson Tèarainteachd bidh e gu fèin-ghluasadach a’ sgrùdadh an Docker agad an aghaidh nan cleachdaidhean as cumanta. Tha an sgriobt na dheagh dheuchainn tèarainteachd heuristic, ach cha bu chòir a mheas mar inneal sgrùdaidh coileanta.

OS aoigheachd

Gu dearbh, chan urrainn do shoitheach Docker a bhith tèarainte mura h-eil an siostam aoigheachd fhèin tèarainte. Mar sin, feumar na cleachdaidhean as fheàrr a leantainn ann an tèarainteachd siostam obrachaidh. A bharrachd air an sin, bhiodh e glic mion-sgrùdadh so-leòntachd a dhèanamh a bharrachd air na molaidhean a leanas.

Riaghailtean Sgrùdaidh

Cruthaich agus cleachd riaghailtean sgrùdaidh airson faidhlichean co-cheangailte ri Docker a’ cleachdadh auditctl. Mar eisimpleir, faodaidh tu cur ris -w /usr/bin/dockerd -k docker к /etc/audit.rules agus an t-seirbheis sgrùdaidh ath-thòiseachadh.

modh FIPS

Le bhith a’ comasachadh modh FIPS bidh innealan criptografach a’ tionndadh gu algoirmean clàraichte FIPS (Ameireaganach Inbhean Feadarail Giullachd Fiosrachaidh - mu thuairmeas. eadar-theangachadh.), mar sin a’ cumail ri riaghailtean agus riatanasan feadarail is gnìomhachais. Ma tha an OS aoigheachd a’ toirt taic do mhodh FIPS, faodaidh tu a chomasachadh le bhith a’ ruith nan òrduighean a leanas:

sed -i 's/GRUB_CMDLINE_LINUX="/GRUB_CMDLINE_LINUX="fips=1 /g' /etc/default/grub
grub2-mkconfig -o /boot/grub2/grub.cfg && reboot

Feumaidh tu cuideachd FIPS a chomasachadh ann an Docker Engine:

mkdir -p /etc/systemd/system/docker.service.d 2>&1; echo -e "[Service]n Environment="DOCKER_FIPS=1"" > /etc/systemd/system/docker.service.d/fips-module.conf; systemctl daemon-reload; systemctl restart docker

Airson tuilleadh fiosrachaidh, faic na sgrìobhainnean Docker и Red Hat.

Dìomhaireachd docker

Feumar dàta dìomhair a chumail mar dhìomhaireachd. Faodaidh tu an t-seirbheis fhreagarrach a thòiseachadh le bhith a’ cleachdadh an t-seirbheis docker cruthaich àithne:

docker service create --label com.docker.ucp.access.label=/prod --name nginx --publish 443 --secret source=orcabank_prod_mobile.ca.pem.v1,target=ca.pem nginx

Airson mion-fhiosrachadh, faic sgrìobhainnean.

Faidhle rèiteachaidh docker

Faodar na roghainnean a leanas a chur ris an fhaidhle rèiteachaidh /etc/docker/daemon.json:

• "icc":false - cuir à comas iomlaid dàta eadar soithichean gus aodion fiosrachaidh neo-riatanach a sheachnadh.
• log-level: "info" - a’ glacadh a h-uile log ach a-mhàin feadhainn deasbaid.

• {
    "log-driver": "syslog",
    "log-opts": {
      "syslog-address": "udp://1.2.3.4:1111"
    }
  }

  - a’ comasachadh logadh iomallach agus gan cur air adhart chun t-seòladh ainmichte. Chan obraich e ach ma tha an syslog daemon a’ ruith. Thathas a’ gabhail ri TCP agus UDP mar roghainnean. Tha e comasach cuideachd ceangal a dhèanamh airson gach soitheach sònraichte. Airson an adhbhair seo, thèid bratach sònraichte a shuidheachadh nuair a thèid Docker a chuir air bhog (--log-opt syslog-address=ADDRESS).

• "userns-remap": "Your_User" - a’ cur casg air àrdachadh sochair le bhith a’ dealachadh àite ainm neach-cleachdaidh sònraichte.

Tèarainteachd sreath còmhdhail

Is e dìreach luchd-cleachdaidh le cothrom air teisteanasan teachdaiche TLS a bu chòir a bhith comasach air ceangal ri daemon an Docker (ma tha feum air ruigsinneachd iomallach).

Plugins ceadachaidh

Dèan co-dhùnadh dè na cleachdaichean a tha ceadaichte na h-òrdughan a chuir an gnìomh, agus cruthaich plugan cead iomchaidh airson Docker. An uairsin tòisich an daemon Docker agus cuir am plugan ris:

dockerd --authorization-plugin=PLUGIN_ID

Gus barrachd ionnsachadh mu bhith a’ cruthachadh plugins ceadachaidh, faic sgrìobhainnean.

Roghainnean daemon

Bidh an daemon Docker a 'ruith le seata bunaiteach de pharamadairean.

• --live-restore - bidh am paramadair seo a’ cuideachadh le bhith a’ lughdachadh ùine downt container nuair a thèid an siostam a dhùnadh sìos no ath-thòiseachadh. Bidh e nas fhasa an gleusadh no an ùrachadh le glè bheag de dh’ ùine downt;
• --userland-proxy=false - nuair a bhios NATs hairpin rim faighinn no air an cleachdadh, bidh an neach-ionaid ann an àite luchd-cleachdaidh gu bhith na sheirbheis gun fheum, a tha dìreach a’ meudachadh an àireamh de vectaran ionnsaigh a dh’ fhaodadh a bhith ann;
• --no-new-privileges - a’ cur casg air soithichean bho bhith a’ faighinn sochairean a bharrachd le bhith a’ cleachdadh suid no sguid;
• --seccomp-profile /path/to/profile - ma tha do phròifil seccomp agad fhèin, faodaidh tu a chuir an sàs leis a’ bhratach seo. Faodaidh tu barrachd ionnsachadh mu Seccomp agus Docker an seo.

Container agus rèiteachadh faidhle togail

A 'cruthachadh neach-cleachdaidh

Dèan cinnteach gu bheil neach-cleachdaidh air a chruthachadh airson an t-soithich agus ruith e fon chleachdaiche sin (NA ruith an soitheach mar fhreumh).

Cothrom iomallach

Cuir à comas ruigsinneachd iomallach air an daemon. Ma tha feum agad air fhathast, dìon e le teisteanasan.

Roinn an t-àite ainm-chleachdaiche

Tha e gu sònraichte cudromach dèanamh cinnteach gu bheil an t-àite ainm neach-cleachdaidh ann an Docker iomallach, oir gu bunaiteach tha e air a cho-roinn leis an ainm-àite aoigheachd. Ann an cuid de chùisean, faodar seo a chleachdadh gus sochairean àrdachadh no eadhon teicheadh ​​​​taobh a-muigh an t-soithich. Faodaidh tu àite an ainm neach-cleachdaidh a sgaradh le bhith a’ deasachadh am faidhle rèiteachaidh (mar a chaidh a mhìneachadh gu h-àrd anns an roinn Faidhle Configuration Docker). Tha iomradh a bharrachd air a’ chùis seo an seo air sgàth cho cudromach sa tha e.

Sgrùdadh slàinte

Is e inneal cumhachdach a th’ ann an Healthcheck a leigeas leat sgrùdadh a dhèanamh air ionracas soitheach. Tha e air a rèiteachadh san Dockerfile a’ cleachdadh an stiùiridh HEALTHCHECK. Leigidh sgrùdaidhean slàinte dhut dèanamh cinnteach gu bheil an soitheach ag obair ceart. Anns an eisimpleir gu h-ìosal, bidh an sgrùdadh slàinte a’ tilleadh 0 ma tha am frithealaiche a’ ruith agus 1 ma tha e sìos:

HEALTHCHECK CMD curl --fail http://localhost || exit 1

SELinux

Ma tha SELinux le taic bhon t-siostam obrachaidh aoigheachd, cruthaich no thoir a-steach poileasaidh SELinux agus ruith Docker ann am modh daemon le SE air a chomasachadhLinux:

docker daemon --selinux-enable

Anns a ’chùis seo, faodar soithichean Docker a chuir air bhog le roghainnean tèarainteachd, mar eisimpleir:

docker run --interactive --tty --security-opt label=level:TopSecret centos /bin/bash

Eadar-aghaidh lìonra

Gu gnàthach, bidh Docker ag èisteachd ris a h-uile eadar-aghaidh lìonra. Leis sa mhòr-chuid de chùisean tha dùil ri trafaic air dìreach aon dhiubh, tha an dòigh-obrach seo gun fheum a’ meudachadh cunnart ionnsaigh. Mar sin, nuair a thòisicheas tu air soitheach, faodaidh tu na puirt aige a cheangal ri eadar-aghaidh sònraichte air an òstair:

docker run --detach --publish 10.2.3.4:49153:80 nginx

Tionndaidhean tasgadan de dhealbhan

Nuair a bhios tu a’ luchdachadh sìos ìomhaighean, dèan cinnteach gu bheil an tasgadan ionadail a rèir susbaint an stòrais. Rud eile, is dòcha gum bi dreach seann-fhasanta agad den ìomhaigh no ìomhaigh anns a bheil so-leòntachd.

Drochaid lìonra

Modail lìonra bunaiteach docker0, ann an cunnart bho ionnsaighean leithid ARP-spoofing agus MAC-tuiltean. Gus a’ chùis seo fhuasgladh, cruthaich drochaid lìonraidh a rèir do shònrachaidhean mar a chaidh a mhìneachadh an seo.

Rabhadh socaid docker

Na cuir air adhart socaid Docker taobh a-staigh soitheach. Rud eile, bidh e comasach don ghobhar òrdughan Docker a chuir an gnìomh agus mar sin conaltradh agus smachd a chumail air an t-siostam obrachaidh aoigheachd. Na dèan sin.

A’ rèiteachadh Iomairt Docker

Urras Docker

Leigidh Urras Docker leat iuchraichean a ghineadh a ghabhas cleachdadh gus ionracas criptografach ìomhaighean a dhearbhadh. Faodar iuchraichean Urras Docker a chleachdadh gus ìomhaighean Docker a shoidhnigeadh le iuchraichean prìobhaideach, a tha air an dearbhadh le iuchraichean poblach air an Notary Server. Fiosrachadh a bharrachd - an seo. Tha mion-fhiosrachadh air a bhith a’ comasachadh Urras Docker ann an Einnsean Iomairt earrann seo de na sgrìobhainnean.

Sganadh so-leòntachd

Tha sganair so-leòntachd stèidhichte aig Docker Enterprise a leigeas leat stòr-dàta CVE a luchdachadh sìos airson sganadh far-loidhne de chugallachd ann an ìomhaighean. Bidh sganadh cunbhalach de dhealbhan gan cuideachadh gus an dèanamh nas tèarainte: gheibh an neach-cleachdaidh rabhaidhean sa bhad mu so-leòntachd a chaidh a lorg. Airson tuilleadh fiosrachaidh air mar a ghabhas seo a dhèanamh, faic an seo.

Thoir an aire. eadar-theangachadh.: Tha sganairean Open Source ann cuideachd airson so-leòntachd ann an ìomhaighean Docker, agus gheibhear eisimpleirean dhiubh sin aig deireadh an stuth.

Amalachadh LDAP agus UCP

Faodar Plèana Smachd Uile-choitcheann a bhith ceangailte ri LDAP. Mar thoradh air an sin bidh siostam dearbhaidh nas sìmplidhe a sheachnadh dùblachadh neo-riatanach. Faodaidh tu barrachd a leughadh mu dheidhinn seo san artaigil Amalachadh le eòlaire LDAP.

Stuthan eile

Gheibhear tuilleadh fiosrachaidh mu na cleachdaidhean tèarainteachd Docker as fheàrr aig docs.docker.com. Tha sinn cuideachd a’ moladh luchdachadh sìos Ionad airson deuchainnean tèarainteachd eadar-lìn airson Docker.

Bonus eadar-theangair

Mar chur-ris loidsigeach ris an artaigil seo, bidh sinn a’ foillseachadh liosta de 10 Goireasan Stòr Fosgailte mòr-chòrdte airson Tèarainteachd Docker. Chaidh a thoirt air iasad bho artaigil eile (le Bill Doerrfeld à Doerrfeld.io).

NB: Leugh tuilleadh mu dheidhinn mòran de na pròiseactan a tha air an ainmeachadh an seo san artaigil “33+ innealan tèarainteachd Kubernetes".

1. Docker Bench airson Tèarainteachd na sgriobt a chaidh ainmeachadh mar-thà aig fìor thoiseach an artaigil a bhios a’ sgrùdadh soithichean Docker airson gèilleadh ri cleachdaidhean tèarainteachd cumanta.

   

2. Clair — is dòcha gur e seo an goireas as mòr-chòrdte airson mion-sgrùdadh statach air so-leòntachd ann an soitheach. Bidh e a’ cleachdadh grunn stòran-dàta so-leòntachd CVE (a’ gabhail a-steach luchd-leantainn air prìomh…) Linux-sgaoilidhean leithid Red Hat, Debian, Ubuntu). Tha e a’ tabhann API do luchd-leasachaidh agus leudachadh furasta air comasan (le bhith a’ cur “draibhearan” ris). Tha e air a chleachdadh anns a’ chlàr ìomhaighean container poblach mòr-chòrdte (coltach ri Docker Hub) — Quay.io.
3. cilium na fhuasgladh airson dèanamh cinnteach à tèarainteachd lìonra aig ìre kernel, stèidhichte air teicneòlas sìolaidh pacaid lìonra BPF.
4. Anchor - goireas airson mion-sgrùdadh a dhèanamh air susbaint ìomhaighean airson làthaireachd so-leòntachd tèarainteachd stèidhichte air CVE. A bharrachd air an sin, leigidh e leat poileasaidhean gnàthaichte a chuir an sàs (stèidhichte air diofar dàta a’ toirt a-steach liostaichean geal / dubh, susbaint faidhle, msaa) gus tèarainteachd soithichean a mheasadh.
5. Bòrd-obrach OpenSCAP - eag-shiostam iomlan airson cruthachadh agus cumail suas poileasaidhean tèarainteachd air diofar àrd-ùrlaran. A’ tabhann goireas airson sùil a thoirt air soithichean oscap-docker.
6. dagda - goireas airson a bhith a’ sganadh soithichean Docker airson so-leòntachd, Trojans, bhìorasan agus malware. Tha stòran-dàta CVE a’ toirt a-steach sgrùdaidhean eisimeileachd bho OWASP, stòr-dàta Red Hat Oval, agus stòr-dàta brath Stòr-dàta Exploit.
7. Notari na fhrèam airson soidhnigeadh ìomhaighean Docker, a chaidh a chruthachadh an toiseach aig Docker Inc (agus an uairsin air a ghluasad airson leasachadh gu CNCF). Tha a chleachdadh a’ toirt cothrom dhut dreuchdan a thiomnadh agus dleastanasan a sgaoileadh am measg shoithichean, a bharrachd air dearbhadh ionracas criptografach ìomhaighean.
8. Grafaes - API airson meata-dàta, air a dhealbhadh gus poileasaidhean tèarainteachd a-staigh a riaghladh. Mar eisimpleir, leigidh e leat coileanadh sganairean tèarainteachd container a leasachadh. Bidh Shopify a’ cleachdadh an API seo gus meata-dàta a riaghladh thairis air na 500 dealbh aige.
9. Sysdig Falco — goireas Kubernetes a bhios a’ cumail sùil air giùlan an t-siostaim: gnìomhachd ann an soithichean, air aoighean, agus air an lìonra. Leigidh e leat sgrùdaidhean leantainneach bun-structair, lorg neo-riaghailteachdan, agus rabhaidhean a rèiteachadh airson gairmean siostaim sam bith. Linux.
10. Neach-cruinneachaidh Banyanops - inneal eile airson mion-sgrùdadh statach air ìomhaighean Docker container. A’ leigeil leat “coimhead” a-steach do fhaidhlichean ìomhaigh, a’ cruinneachadh an dàta riatanach, a’ cur an gnìomh nam poileasaidhean riatanach, msaa.

Cruinneachadh math eile de mholaidhean practaigeach air mar a nì thu Docker nas tèarainte ri fhaighinn ann an an artaigil seo Companaidh Aqua Security. Tha mòran de na molaidhean aice a’ dol an-sàs leis an fheadhainn a chaidh ainmeachadh gu h-àrd, ach tha cuid eile ann. Mar eisimpleir, tha na h-ùghdaran a’ moladh a bhith ag eagrachadh sgrùdadh gnìomhachd ann an soithichean agus a’ nochdadh dè bu chòir aire a thoirt dha nuair a bhios tu a’ cleachdadh Docker Swarm.

Dhaibhsan a tha airson dàibheadh ​​​​a-steach don chuspair seo nas mionaidiche, chaidh fhoillseachadh an-uiridh. leabhar"Tèarainteachd Docker: Iomradh sgiobalta», agus tha pìosan dhiubh rim faighinn gu saor an seo.

Mu dheireadh, airson ro-ràdh practaigeach air cuid de thaobhan de thèarainteachd Docker: pròifilean Seccomp agus cleachdadh chomasan Linux-cridheachan ann an soithichean - faodaidh tu a dhol tron ​​​​​​cho-fhreagarrach obair-lann air adhart goireas Cluich le Docker* - faic an earrann “Tèarainteachd”.

* Mun ghoireas seo fhèin sinn dh ’innis dà bhliadhna air ais, agus san t-Samhain 2018, thachair sgeulachd gu math inntinneach (bho thaobh tèarainteachd) dha. Ann an ùine ghoirid, tha na h-eòlaichean bho CyberArk Software Ltd. air a stiùireadh gus a sheacadh: gus an comas òrdughan a chuir an gnìomh taobh a-muigh soithichean, i.e. air an t-siostam aoigheachd. Dealbh foirfe den duilgheadas tèarainteachd ann an Docker, nach e? Leugh mu dheidhinn a h-uile mion-fhiosrachadh mu na thachair an seo.

PS bhon eadar-theangair

Leugh cuideachd air ar blog:

• «Docker So-leònte VM - inneal brìgheil tòimhseachain airson Docker agus pentesting";
• «Chan eil facal-faire bunaiteach aig 19% de na prìomh dhealbhan Docker";
• «33+ innealan tèarainteachd Kubernetes";
• «Docker agus Kubernetes ann an àrainneachdan a tha feumach air tèarainteachd";
• «9 Cleachdaidhean Tèarainteachd Kubernetes as Fheàrr";
• «Tha OPA agus SPIFFE nan dà phròiseact ùr aig CNCF airson tèarainteachd tagradh sgòthan".

Source: www.habr.com