בחינת האבטחה (החסרה) של התקנות טיפוסיות של Docker ו-Kubernetes

אני עובד ב-IT כבר יותר מ-20 שנה, אבל איכשהו מעולם לא הגעתי למכולות. בתיאוריה, הבנתי איך הם בנויים ואיך הם עובדים. אבל מכיוון שמעולם לא נתקלתי בהם בפועל, לא הייתי בטוח איך בדיוק הסתובבו והסתובבו גלגלי השיניים מתחת למכסה המנוע שלהם.

חוץ מזה, לא היה לי מושג איך הביטחון שלהם. אבל שוב, התיאוריה נשמעת נחמדה, והשיר הישן "ככל שהאבטחה עולה, השימושיות פוחתת" תקוע לי בראש. אז חשבתי שמכיוון שהכל כל כך קל לעשות עם מכולות, אז הבטיחות שם מתחת לרמה. מסתבר שצדקתי.

כדי להתחיל מהירה, נרשמתי לקורסים כובע שחור 2020 בשם "מסמרטוטים לעושר: חדירה והגנה על סביבות Docker Swarm ו-Kubernetes".

הקורס, אותו העביר שילה א. ברטה וסול אוזן, התחיל מיד בתיאור של אופן פעולתן של מכולות Docker והמסע שהן עושות בעת פריסה ל-Kubernetes. זה היה שיעור מעשי לחלוטין - התלמידים היו צריכים להתקין את Docker ו-microk8s על המכונות שלהם לפני השיעור - דרך מצוינת לראות איך הכלים מתקשרים זה עם זה, למצוא נקודות תורפה ובעיקר לנסות לחסום אותם.

לצערי, למרות שהקורסים הבטיחו להפוך ל"נסיך" לאחר יומיים, הרגשתי שהכל רק מתחיל, ועדיין יש לי הרבה מה ללמוד.

לפני שצולל אל התצפיות הנעלות שלי, חשוב להסביר מה זה מיכל. בעולם הפיתוח, זה נחשב נורמלי שהקוד שנכתב במחשב האישי שלך יעבוד בצורה מושלמת, אבל כשאתה מנסה להריץ אותו על שרת איפשהו, זה פשוט לא עובד. קונטיינרים מנסים להתגבר על בעיה זו על ידי אספקת מכונות עצמאיות שתוכל להעביר בקלות משרת אחד למשנהו, בידיעה שהן תמיד יעבדו. כפי שהשם מרמז, הם מכילים את הקוד, הספריות ותוכנות אחרות הדרושות כדי לבצע את העבודה. Kubernetes, לעומת זאת, הוא פלטפורמת תזמור למכולות. באופן עקרוני, ניתן להשתמש בו כדי לנהל בצורה חלקה מאות או אלפי מכולות שונות.

להלן כמה מהממצאים שלי מנקודת המבט של הצוות האדום והכחול.

קבוצה אדומה

רוב תוכן המכולה פועל כשורש: המשמעות היא שאם המיכל נפגע, תהיה לך גישה מלאה למכולה. זה מקל בהרבה על השלבים הבאים.

הרכבת docker.sock בתוך מכולה מסוכנת: אם יש לך שורש בתוך קונטיינר וגם התקנת Docker בתוך קונטיינר שיש לו שקע Docker (/var/run/docker.sock), יש לך פוטנציאל לחקור את כל האשכול, כולל גישה לכל קונטיינר אחר. לא ניתן למנוע גישה כזו על ידי בידוד רשת או אמצעים אחרים.

משתני סביבה מכילים לרוב נתונים סודיים: ברוב המקרים, אנשים שולחים סיסמאות למיכל באמצעות משתני סביבה רגילים. אז אם יש לך גישה לחשבון, אתה יכול לרגל אחר משתני סביבה אלה כדי להרחיב מאוחר יותר את הסמכויות שלך.

Docker API יכול לספק מידע רב: ה-API של Docker, כאשר מוגדר כברירת מחדל, פועל ללא הרשאה ויכול לייצר המון מידע. באמצעות Shodan, תוכלו למצוא בקלות רשימה של יציאות פתוחות, ואז לקבל מידע מפורט על האשכול - ולהמשיך ללכידה המלאה שלו. TrendMicro כתב על זה המאמר הכי מעניין.

קבוצה כחולה

אל תפעיל תוכן מיכל כשורש: למרות שקל יותר להפעיל אותו כשורש, אתה לא צריך לעשות את זה. במקום זאת, הפעל יישומים עם הרשאות איפוס על ידי הצגת ה-uid, או באמצעות האפשרות --user בעת הפעלה מה-CLI, או על ידי ציון USER ב-Dockerfile.

אל תאפשר התקנת תוכנה בקונטיינרים: כמעט כל התקפה מתחילה בנטיעת משהו. מ-nmap ועד ifconfig ועד Docker עצמו (בתוך קונטיינר), התקנת כל דבר בקונטיינר הייתה דבר שבשגרה. מאותה סיבה, עליך תמיד לחסום את כל היציאות שאינן בשימוש. זה גם עוזר למנוע העברת פקודות בקרה כאשר המכשיר שלך נגוע. בנוסף למניעת התקנת תוכנות, כדאי לוודא שבמכולה עצמה מותקנות מספר האפליקציות המינימלי הנדרש להשלמת המשימה.

הגן על docker.sock: יש להגן עליו מכיוון שהתקשורת בין המיכל לאשכול מעובדת דרך שקע זה. מכיוון שאני לא רוצה להיכנס לפרטים במאמר זה, קרא הערה של Docker, מה יכול לקרות, וגם איך לחסום את הכל.

השתמש בסודות Docker במקום במשתני סביבה: יש סודות מאז 2017 בערך. למרות שזה לא מאובטח, זה עדיין עדיף על משתני סביבה להעברת נתונים סודיים למיכל.

אם המאמר עורר את העניין שלך בקונטיינרים, אתה יכול בקלות להתקין Docker או microk8s (גרסה קטנה של Kubernetes). כאן יש הוראות להתקנת Docker עבור לינוקס ו-MacOS, וכן כאן - הוראות להתקנת microk8s עבור Windows, Linux ו- MacOS.

לאחר ההתקנה אתה יכול ללכת זהו מדריך להתחלה מהירה מ- Docker, אפשרות דומה מוצע ועבור microk8s.

אם אתה רוצה או צריך לקחת קורס מקיף על Docker, שבו דוברים מעשיים בוחנים את כל הכלים שלו: מהפשטות בסיסיות ועד לפרמטרים של רשת, ניואנסים של עבודה עם מערכות הפעלה ושפות תכנות שונות, אז נסה "קורס וידאו של דוקר" אתה תכיר את הטכנולוגיה ותבין היכן ואיך הכי טוב להשתמש ב-Docker. ויחד עם זאת, קבלו מקרי תרגול מומלצים - עדיף ללמוד בבטחה ובתמיכה של מתרגלים מסיפורים על מגרפות מאשר באופן אישי מהמגרפות עצמן עם ידיות מפותלות.

מקור: www.habr.com