ტიპიური Docker და Kubernetes ინსტალაციების (დაკარგული) უსაფრთხოების შესწავლა

მე 20 წელზე მეტია ვმუშაობ IT-ში, მაგრამ რატომღაც არასდროს მივედი კონტეინერებთან. თეორიულად მე მესმოდა, როგორ იყვნენ სტრუქტურირებული და როგორ მუშაობდნენ. მაგრამ რადგან მე მათ პრაქტიკაში არასდროს შევხვედრივარ, არ ვიცოდი ზუსტად როგორ შემოტრიალდა და მოტრიალდა მათი კაპოტის ქვეშ არსებული მექანიზმები.

თანაც, წარმოდგენა არ მქონდა, როგორი იყო მათი უსაფრთხოება. მაგრამ კიდევ ერთხელ, თეორია ლამაზად ჟღერს და თავში ჩამრჩა ძველი სიმღერა „როგორც უსაფრთხოება იზრდება, გამოყენებადობა მცირდება“. ასე რომ, მე ვფიქრობდი, რომ რადგან კონტეინერებით ყველაფრის გაკეთება ადვილია, მაშინ უსაფრთხოება იქ დაბალია. როგორც იქნა, მართალი ვიყავი.

სწრაფი დასაწყებად, დავრეგისტრირდი კურსებზე Შავი ქუდი 2020 წელი სახელწოდებით "ნაწიბურებიდან სიმდიდრემდე: Docker Swarm-ისა და Kubernetes-ის გარემოში შეღწევა და დაცვა".

კურსი, რომელსაც ასწავლიდნენ შეილა ა. ბერტა და სოლ ოზანი, მაშინვე დაიწყო Docker კონტეინერების მუშაობის და მოგზაურობის აღწერით კუბერნეტესში განლაგებისას. ეს იყო სრულიად პრაქტიკული გაკვეთილი - სტუდენტებს უნდა დაეყენებინათ Docker და microk8-ები თავიანთ მანქანებზე გაკვეთილის დაწყებამდე - შესანიშნავი გზა იმის დასანახად, თუ როგორ ურთიერთქმედებენ ხელსაწყოები ერთმანეთთან, იპოვონ სუსტი წერტილები და, რაც მთავარია, შეეცადონ მათი დაბლოკვა.

სამწუხაროდ, მიუხედავად იმისა, რომ კურსები დაპირდნენ, რომ ორი დღის შემდეგ "პრინცი" გავხდებოდი, ვგრძნობდი, რომ ყველაფერი მხოლოდ დასაწყისი იყო და კიდევ ბევრი რამ მქონდა სასწავლი.

სანამ ჩავუღრმავდები ჩემს მაღალ დაკვირვებებს, მნიშვნელოვანია აგიხსნათ რა არის კონტეინერი. განვითარების სამყაროში ნორმალურად ითვლება, რომ თქვენს პერსონალურ მანქანაზე დაწერილი კოდი მუშაობს იდეალურად, მაგრამ როცა ცდილობთ მის გაშვებას სადმე სერვერზე, ის უბრალოდ არ მუშაობს. კონტეინერები ცდილობენ დაძლიონ ეს პრობლემა თვითმმართველობის მქონე მანქანების მიწოდებით, რომელთა გადატანა შეგიძლიათ ერთი სერვერიდან მეორეზე, იმის ცოდნა, რომ ისინი ყოველთვის იმუშავებენ. როგორც სახელი გვთავაზობს, ისინი შეიცავს კოდს, ბიბლიოთეკებს და სხვა პროგრამულ უზრუნველყოფას, რომელიც საჭიროა სამუშაოს შესასრულებლად. მეორე მხრივ, კუბერნეტესი არის საორკესტრო პლატფორმა კონტეინერებისთვის. პრინციპში, ის შეიძლება გამოყენებულ იქნას ასობით ან ათასობით სხვადასხვა კონტეინერის შეუფერხებლად სამართავად.

ქვემოთ მოცემულია ჩემი რამდენიმე აღმოჩენა წითელი და ლურჯი გუნდის პერსპექტივიდან.

წითელი გუნდი

კონტეინერის შინაარსის უმეტესობა გადის როგორც root: ეს ნიშნავს, რომ თუ კონტეინერი დაზიანებულია, თქვენ გექნებათ სრული წვდომა კონტეინერზე. ეს მნიშვნელოვნად ამარტივებს შემდეგ ნაბიჯებს.

კონტეინერის შიგნით წინდების დამონტაჟება საშიშია: თუ თქვენ გაქვთ root კონტეინერის შიგნით და ასევე დააინსტალირეთ Docker კონტეინერში, რომელსაც აქვს Docker სოკეტი (/var/run/docker.sock), თქვენ გაქვთ პოტენციალი გამოიკვლიოთ მთელი კლასტერი, მათ შორის წვდომა ნებისმიერ სხვა კონტეინერზე. ასეთი წვდომის აღკვეთა შეუძლებელია ქსელის იზოლაციით ან სხვა საშუალებებით.

გარემოს ცვლადები ხშირად შეიცავს საიდუმლო მონაცემებს: უმეტეს შემთხვევაში, ადამიანები აგზავნიან პაროლებს კონტეინერში ნორმალური გარემოს ცვლადების გამოყენებით. ასე რომ, თუ თქვენ გაქვთ წვდომა ანგარიშზე, შეგიძლიათ თვალთვალოთ ეს გარემო ცვლადები, რათა მოგვიანებით გააფართოვოთ თქვენი უფლებამოსილებები.

Docker API-ს შეუძლია ბევრი ინფორმაციის გაცემა: Docker API, ნაგულისხმევად კონფიგურაციისას, მუშაობს ავტორიზაციის გარეშე და შეუძლია მრავალი ინფორმაციის წარმოება. Shodan-ის გამოყენებით შეგიძლიათ მარტივად იპოვოთ ღია პორტების სია, შემდეგ მიიღოთ დეტალური ინფორმაცია კლასტერის შესახებ - და გააგრძელოთ მისი სრული დაჭერა. ამის შესახებ TrendMicro წერს ყველაზე საინტერესო სტატია.

ლურჯი გუნდი

არ გამოიყენოთ კონტეინერის შიგთავსი, როგორც root: მიუხედავად იმისა, რომ root-ის სახით გაშვება უფრო ადვილია, ეს არ უნდა გააკეთოთ. ამის ნაცვლად, გაუშვით აპლიკაციები გადატვირთვის ნებართვით uid-ის ჩვენებით, ან --user ოფციის გამოყენებით CLI-დან გაშვებისას, ან Dockerfile-ში USER-ის მითითებით.

არ დაუშვათ პროგრამული უზრუნველყოფის ინსტალაცია კონტეინერებში: თითქმის ყველა შეტევა რაღაცის დარგვით იწყება. nmap-დან ifconfig-მდე, თავად Docker-მდე (კონტეინერის შიგნით), რაიმეს დაყენება კონტეინერში ჩვეულებრივი მოვლენა იყო. ამავე მიზეზით, თქვენ ყოველთვის უნდა დაბლოკოთ ყველა გამოუყენებელი პორტი. ეს ასევე ხელს უშლის საკონტროლო ბრძანებების გადაცემას, როდესაც თქვენი მანქანა ინფიცირებულია. პროგრამების დაყენების თავიდან აცილების გარდა, ღირს დარწმუნდეთ, რომ ამოცანის შესასრულებლად საჭირო აპლიკაციების მინიმალური რაოდენობა დაინსტალირებულია თავად კონტეინერში.

დაიცავი დოკერ.წინდა: ის დაცული უნდა იყოს, რადგან კონტეინერსა და კლასტერს შორის კომუნიკაცია მუშავდება ამ სოკეტის მეშვეობით. რადგან არ მინდა ამ სტატიაში დეტალების შესწავლა, წაიკითხეთ შენიშვნა დოკერისგან, რა შეიძლება მოხდეს და ასევე როგორ დაბლოკოს ეს ყველაფერი.

გამოიყენეთ დოკერის საიდუმლოებები გარემოს ცვლადების ნაცვლად: არსებობს საიდუმლოებები დაახლოებით 2017 წლიდან. მიუხედავად იმისა, რომ ეს არ არის უსაფრთხო, მაინც უკეთესია, ვიდრე გარემოს ცვლადები საიდუმლო მონაცემების კონტეინერში გადასაცემად.

თუ სტატიამ გააჩინა თქვენი ინტერესი კონტეინერების მიმართ, შეგიძლიათ მარტივად დააინსტალიროთ Docker ან microk8s (Kubernetes-ის მცირე ვერსია). აქ არსებობს ინსტრუქციები Docker-ის ინსტალაციისთვის Linux-ისა და MacOS-ისთვის და აქ — ინსტრუქციები microk8s-ის ინსტალაციისთვის Windows, Linux და MacOS-ისთვის.

ინსტალაციის შემდეგ შეგიძლიათ წასვლა ეს არის სწრაფი დაწყების სახელმძღვანელო Docker-დან, მსგავსი ვარიანტი შესთავაზა და microk8-ისთვის.

თუ გსურთ ან გჭირდებათ Docker-ის ყოვლისმომცველი კურსის გავლა, რომელშიც პრაქტიკული მომხსენებლები შეისწავლიან მის ყველა ინსტრუმენტს: ძირითადი აბსტრაქციებიდან ქსელის პარამეტრებამდე, სხვადასხვა ოპერაციულ სისტემებთან და პროგრამირების ენებთან მუშაობის ნიუანსებამდე, მაშინ სცადეთ ”დოკერის ვიდეო კურსი" თქვენ გაეცნობით ტექნოლოგიას და გაიგებთ სად და როგორ საუკეთესოდ გამოიყენოთ Docker. და ამავდროულად, მიიღეთ საუკეთესო პრაქტიკის შემთხვევები - უმჯობესია უსაფრთხოდ და პრაქტიკოსების მხარდაჭერით ისწავლოთ რაკიების შესახებ ისტორიები, ვიდრე პირადად თავად საკომისიოდან, წვეტიანი სახელურებით.

წყარო: www.habr.com