헤이 하브르!

현대 현실에서는 개발 프로세스에서 컨테이너화의 역할이 증가함에 따라 컨테이너와 관련된 다양한 단계 및 엔터티의 보안을 보장하는 문제가 가장 중요한 문제가 아닙니다. 수동 검사를 수행하는 것은 시간이 많이 걸리므로 최소한 이 프로세스를 자동화하기 위한 초기 단계를 수행하는 것이 좋습니다.

이 기사에서는 여러 Docker 보안 유틸리티를 구현하기 위해 미리 만들어진 스크립트와 이 프로세스를 테스트하기 위해 작은 데모 스탠드를 배포하는 방법에 대한 지침을 공유하겠습니다. 자료를 사용하여 Dockerfile 이미지 및 지침의 보안을 테스트하는 프로세스를 구성하는 방법을 실험할 수 있습니다. 모든 사람의 개발 및 구현 인프라가 다르다는 것은 분명하므로 아래에서는 몇 가지 가능한 옵션을 제공하겠습니다.

보안 검사 유틸리티

Docker 인프라의 다양한 측면을 검사하는 다양한 도우미 애플리케이션과 스크립트가 있습니다. 그 중 일부는 이미 이전 기사에서 설명했습니다(https://habr.com/ru/company/swordfish_security/blog/518758/#docker-security), 이 자료에서는 개발 프로세스 중에 구축된 Docker 이미지에 대한 보안 요구 사항의 대부분을 다루는 세 가지에 중점을 두고 싶습니다. 또한 이 세 가지 유틸리티를 하나의 파이프라인에 연결하여 보안 검사를 수행하는 방법에 대한 예도 보여 드리겠습니다.

하돌린트
https://github.com/hadolint/hadolint

첫 번째 근사치로 Dockerfile 지침의 정확성과 안전성을 평가하는 데 도움이 되는 매우 간단한 콘솔 유틸리티입니다(예: 승인된 이미지 레지스트리만 사용하거나 sudo 사용).

도클
https://github.com/goodwithtech/dockle

이미지(또는 이미지의 저장된 tar 아카이브)와 함께 작동하는 콘솔 유틸리티로 특정 이미지의 정확성과 보안을 확인하고 레이어와 구성(생성된 사용자, 사용된 지침, 볼륨이 마운트되어 있는지, 빈 비밀번호가 있는지 등 d. 지금까지 확인 횟수는 그리 많지 않으며 자체 확인 및 권장 사항 중 일부를 기반으로 합니다. CIS(인터넷 보안 센터) 벤치마크 도커용.


사소한
https://github.com/aquasecurity/trivy

이 유틸리티는 OS 빌드 문제(Alpine, RedHat(EL), CentOS, Debian GNU, Ubuntu에서 지원)와 종속성 문제(Gemfile.lock, Pipfile.lock, Composer.lock, 패키지)라는 두 가지 유형의 취약점을 찾는 것을 목표로 합니다. -lock.json, 원사.잠금, 화물.잠금). Trivy는 저장소의 이미지와 로컬 이미지를 모두 스캔할 수 있으며, Docker 이미지로 전송된 .tar 파일을 기반으로 스캔할 수도 있습니다.

유틸리티 구현 옵션

격리된 환경에서 설명된 애플리케이션을 시험해 보기 위해 다소 단순화된 프로세스로 모든 유틸리티를 설치하는 지침을 제공하겠습니다.

주요 아이디어는 개발 중에 생성된 Dockerfile 및 Docker 이미지의 자동 콘텐츠 확인을 구현하는 방법을 보여주는 것입니다.

검사 자체는 다음 단계로 구성됩니다.

1. linter 유틸리티를 사용하여 Dockerfile 명령의 정확성과 안전성 확인 하돌린트
2. 유틸리티를 사용하여 최종 및 중간 이미지의 정확성과 안전성 확인 도클
3. 유틸리티를 사용하여 기본 이미지 및 여러 종속성에 공개적으로 알려진 취약점(CVE)이 있는지 확인 사소한

이 기사의 뒷부분에서는 이러한 단계를 구현하기 위한 세 가지 옵션을 제공합니다.
첫 번째는 GitLab을 예시로 사용하여 CI/CD 파이프라인을 구성하는 것입니다(테스트 인스턴스를 발생시키는 프로세스에 대한 설명 포함).
두 번째는 쉘 스크립트를 사용하는 것입니다.
세 번째는 Docker 이미지를 스캔하기 위해 Docker 이미지를 구축하는 것입니다.
귀하에게 가장 적합한 옵션을 선택하고 이를 인프라로 전송한 후 필요에 맞게 조정할 수 있습니다.

필요한 모든 파일과 추가 지침도 저장소에 있습니다. https://github.com/Swordfish-Security/docker_cicd

GitLab CI/CD에 통합

첫 번째 옵션에서는 GitLab 저장소 시스템을 예로 들어 보안 검사를 구현하는 방법을 살펴보겠습니다. 여기에서는 단계를 거쳐 처음부터 GitLab을 사용하여 테스트 환경을 설치하고, 스캔 프로세스를 만들고, 테스트 Dockerfile 및 임의 이미지(JuiceShop 애플리케이션)를 확인하기 위한 유틸리티를 시작하는 방법을 알아봅니다.

GitLab 설치
1. 도커를 설치합니다:

sudo apt-get update && sudo apt-get install docker.io

2. sudo를 사용하지 않고도 docker로 작업할 수 있도록 현재 사용자를 docker 그룹에 추가합니다.

sudo addgroup <username> docker

3. 귀하의 IP를 찾으십시오:

ip addr

4. 컨테이너에 GitLab을 설치하고 실행하여 호스트 이름의 IP 주소를 사용자 고유의 IP 주소로 바꿉니다.

docker run --detach 
--hostname 192.168.1.112 
--publish 443:443 --publish 80:80 
--name gitlab 
--restart always 
--volume /srv/gitlab/config:/etc/gitlab 
--volume /srv/gitlab/logs:/var/log/gitlab 
--volume /srv/gitlab/data:/var/opt/gitlab 
gitlab/gitlab-ce:latest

GitLab이 필요한 모든 설치 절차를 완료할 때까지 기다립니다(로그 파일 출력: dockerlogs -f gitlab을 통해 프로세스를 모니터링할 수 있습니다).

5. 브라우저에서 로컬 IP를 열고 루트 사용자의 비밀번호를 변경하라는 페이지를 확인하십시오.

새 비밀번호를 설정하고 GitLab으로 이동하세요.

6. cicd-test와 같은 새 프로젝트를 생성하고 시작 파일로 초기화합니다. README.md:

7. 이제 요청 시 필요한 모든 작업을 실행하는 에이전트인 GitLab Runner를 설치해야 합니다.
최신 버전을 다운로드합니다(이 경우 Linux 64비트용).

sudo curl -L --output /usr/local/bin/gitlab-runner https://gitlab-runner-downloads.s3.amazonaws.com/latest/binaries/gitlab-runner-linux-amd64

8. 실행 가능하게 만드세요:

sudo chmod +x /usr/local/bin/gitlab-runner

9. Runner용 OS 사용자를 추가하고 서비스를 시작합니다.

sudo useradd --comment 'GitLab Runner' --create-home gitlab-runner --shell /bin/bash
sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
sudo gitlab-runner start

다음과 같아야 합니다.

local@osboxes:~$ sudo gitlab-runner install --user=gitlab-runner --working-directory=/home/gitlab-runner
Runtime platform arch=amd64 os=linux pid=8438 revision=0e5417a3 version=12.0.1
local@osboxes:~$ sudo gitlab-runner start
Runtime platform arch=amd64 os=linux pid=8518 revision=0e5417a3 version=12.0.1

10. 이제 GitLab 인스턴스와 상호 작용할 수 있도록 Runner를 등록합니다.
이렇게 하려면 설정-CI/CD 페이지(http://OUR_IP_ADDRESS/root/cicd-test/-/settings/ci_cd)를 열고 실행자 탭에서 URL과 등록 토큰을 찾으세요.

11. URL과 등록 토큰을 대체하여 Runner를 등록합니다.

sudo gitlab-runner register 
--non-interactive 
--url "http://<URL>/" 
--registration-token "<Registration Token>" 
--executor "docker" 
--docker-privileged 
--docker-image alpine:latest 
--description "docker-runner" 
--tag-list "docker,privileged" 
--run-untagged="true" 
--locked="false" 
--access-level="not_protected"

결과적으로 우리는 유틸리티를 시작하기 위한 지침을 추가해야 하는 기성품 작업 GitLab을 얻습니다. 이 데모에는 애플리케이션을 구축하고 컨테이너화하는 단계가 없지만 실제 환경에서는 이러한 단계가 스캔 단계보다 먼저 수행되고 분석을 위한 이미지와 Dockerfile을 생성합니다.

파이프라인 구성

1. 저장소에 파일 추가 mydockerfile.df (우리가 확인할 테스트 Dockerfile입니다) 및 GitLab CI/CD 프로세스 구성 파일 .gitlab-cicd.yml, 스캐너에 대한 지침이 나열되어 있습니다(파일 이름의 점 참고).

YAML 구성 파일에는 선택한 Dockerfile과 DOCKERFILE 변수에 지정된 이미지를 분석하는 세 가지 유틸리티(Hadolint, Dockle 및 Trivy)를 실행하기 위한 지침이 포함되어 있습니다. 필요한 모든 파일은 저장소에서 가져올 수 있습니다. https://github.com/Swordfish-Security/docker_cicd/

발췌 mydockerfile.df (이것은 유틸리티의 작동을 보여주기 위한 임의의 명령 세트가 포함된 추상 파일입니다.) 파일에 대한 직접 링크: mydockerfile.df

mydockerfile.df의 내용

FROM amd64/node:10.16.0-alpine@sha256:f59303fb3248e5d992586c76cc83e1d3700f641cbcd7c0067bc7ad5bb2e5b489 AS tsbuild
COPY package.json .
COPY yarn.lock .
RUN yarn install
COPY lib lib
COPY tsconfig.json tsconfig.json
COPY tsconfig.app.json tsconfig.app.json
RUN yarn build
FROM amd64/ubuntu:18.04@sha256:eb70667a801686f914408558660da753cde27192cd036148e58258819b927395
LABEL maintainer="Rhys Arkins <[email protected]>"
LABEL name="renovate"
...
COPY php.ini /usr/local/etc/php/php.ini
RUN cp -a /tmp/piik/* /var/www/html/
RUN rm -rf /tmp/piwik
RUN chown -R www-data /var/www/html
ADD piwik-cli-setup /piwik-cli-setup
ADD reset.php /var/www/html/
## ENTRYPOINT ##
ADD entrypoint.sh /entrypoint.sh
ENTRYPOINT ["/entrypoint.sh"]
USER root

구성 YAML은 다음과 같습니다. 파일 자체는 다음 직접 링크를 통해 찾을 수 있습니다. .gitlab-ci.yml):

.gitlab-ci.yml의 내용

variables:
    DOCKER_HOST: "tcp://docker:2375/"
    DOCKERFILE: "mydockerfile.df" # name of the Dockerfile to analyse   
    DOCKERIMAGE: "bkimminich/juice-shop" # name of the Docker image to analyse
    # DOCKERIMAGE: "knqyf263/cve-2018-11235" # test Docker image with several CRITICAL CVE
    SHOWSTOPPER_PRIORITY: "CRITICAL" # what level of criticality will fail Trivy job
    TRIVYCACHE: "$CI_PROJECT_DIR/.cache" # where to cache Trivy database of vulnerabilities for faster reuse
    ARTIFACT_FOLDER: "$CI_PROJECT_DIR"
 
services:
    - docker:dind # to be able to build docker images inside the Runner
 
stages:
    - scan
    - report
    - publish
 
HadoLint:
    # Basic lint analysis of Dockerfile instructions
    stage: scan
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/hadolint_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/hadolint/hadolint/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/hadolint/hadolint/releases/download/v${VERSION}/hadolint-Linux-x86_64 && chmod +x hadolint-Linux-x86_64
     
    # NB: hadolint will always exit with 0 exit code
    - ./hadolint-Linux-x86_64 -f json $DOCKERFILE > $ARTIFACT_FOLDER/hadolint_results.json || exit 0
 
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/hadolint_results.json
 
Dockle:
    # Analysing best practices about docker image (users permissions, instructions followed when image was built, etc.)
    stage: scan   
    image: docker:git
 
    after_script:
    - cat $ARTIFACT_FOLDER/dockle_results.json
 
    script:
    - export VERSION=$(wget -q -O - https://api.github.com/repos/goodwithtech/dockle/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/goodwithtech/dockle/releases/download/v${VERSION}/dockle_${VERSION}_Linux-64bit.tar.gz && tar zxf dockle_${VERSION}_Linux-64bit.tar.gz
    - ./dockle --exit-code 1 -f json --output $ARTIFACT_FOLDER/dockle_results.json $DOCKERIMAGE   
     
    artifacts:
        when: always # return artifacts even after job failure       
        paths:
        - $ARTIFACT_FOLDER/dockle_results.json
 
Trivy:
    # Analysing docker image and package dependencies against several CVE bases
    stage: scan   
    image: docker:git
 
    script:
    # getting the latest Trivy
    - apk add rpm
    - export VERSION=$(wget -q -O - https://api.github.com/repos/knqyf263/trivy/releases/latest | grep '"tag_name":' | sed -E 's/.*"v([^"]+)".*/1/')
    - wget https://github.com/knqyf263/trivy/releases/download/v${VERSION}/trivy_${VERSION}_Linux-64bit.tar.gz && tar zxf trivy_${VERSION}_Linux-64bit.tar.gz
     
    # displaying all vulnerabilities w/o failing the build
    - ./trivy -d --cache-dir $TRIVYCACHE -f json -o $ARTIFACT_FOLDER/trivy_results.json --exit-code 0 $DOCKERIMAGE    
    
    # write vulnerabilities info to stdout in human readable format (reading pure json is not fun, eh?). You can remove this if you don't need this.
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 0 $DOCKERIMAGE    
 
    # failing the build if the SHOWSTOPPER priority is found
    - ./trivy -d --cache-dir $TRIVYCACHE --exit-code 1 --severity $SHOWSTOPPER_PRIORITY --quiet $DOCKERIMAGE
         
    artifacts:
        when: always # return artifacts even after job failure
        paths:
        - $ARTIFACT_FOLDER/trivy_results.json
 
    cache:
        paths:
        - .cache
 
Report:
    # combining tools outputs into one HTML
    stage: report
    when: always
    image: python:3.5
     
    script:
    - mkdir json
    - cp $ARTIFACT_FOLDER/*.json ./json/
    - pip install json2html
    - wget https://raw.githubusercontent.com/shad0wrunner/docker_cicd/master/convert_json_results.py
    - python ./convert_json_results.py
     
    artifacts:
        paths:
        - results.html

필요한 경우 .tar 아카이브 형식으로 저장된 이미지를 스캔할 수도 있습니다(단, YAML 파일에서 유틸리티에 대한 입력 매개변수를 변경해야 합니다).

주의: Trivy를 설치해야 합니다. RPM и 자식. 그렇지 않으면 RedHat 기반 이미지를 스캔하고 취약성 데이터베이스에 대한 업데이트를 받을 때 오류가 생성됩니다.

2. 구성 파일의 지침에 따라 리포지토리에 파일을 추가한 후 GitLab은 자동으로 빌드 및 스캔 프로세스를 시작합니다. CI/CD → 파이프라인 탭에서 지침의 진행 상황을 볼 수 있습니다.

결과적으로 네 가지 작업이 있습니다. 그 중 XNUMX개는 스캔을 직접 처리하고, 마지막 하나(보고서)는 스캔 결과와 함께 흩어져 있는 파일에서 간단한 보고서를 수집합니다.

기본적으로 Trivy는 이미지 또는 종속성에서 CRITICAL 취약점이 감지되면 실행을 중지합니다. 동시에 Hadolint는 항상 성공 코드를 반환합니다. 왜냐하면 항상 주석이 생성되어 빌드가 중지되기 때문입니다.

특정 요구 사항에 따라 이러한 유틸리티가 특정 중요성의 문제를 감지하면 빌드 프로세스도 중지하도록 종료 코드를 구성할 수 있습니다. 우리의 경우 Trivy가 SHOWSTOPPER 변수에 지정한 중요도의 취약점을 감지한 경우에만 빌드가 중지됩니다. .gitlab-ci.yml.


각 유틸리티의 결과는 각 검사 작업의 로그, 아티팩트 섹션의 json 파일 또는 간단한 HTML 보고서에서 직접 볼 수 있습니다(자세한 내용은 아래 참조).


3. 사람이 좀 더 읽기 쉬운 형식으로 유틸리티 보고서를 제공하기 위해 작은 Python 스크립트를 사용하여 세 개의 JSON 파일을 결함 표가 포함된 하나의 HTML 파일로 변환합니다.
이 스크립트는 별도의 보고서 작업에 의해 시작되며 최종 결과물은 보고서가 포함된 HTML 파일입니다. 스크립트 소스도 저장소에 있으며 필요, 색상 등에 맞게 조정할 수 있습니다.

쉘 스크립트

두 번째 옵션은 CI/CD 시스템 외부에서 Docker 이미지를 확인해야 하거나 호스트에서 직접 실행할 수 있는 형식의 모든 지침이 필요한 경우에 적합합니다. 이 옵션은 깨끗한 가상(또는 실제) 머신에서 실행될 수 있는 미리 만들어진 쉘 스크립트로 다뤄집니다. 스크립트는 위에서 설명한 gitlab-runner와 동일한 지침을 실행합니다.

스크립트를 성공적으로 실행하려면 Docker가 시스템에 설치되어 있어야 하며 현재 사용자가 docker 그룹에 있어야 합니다.

스크립트 자체는 여기에서 찾을 수 있습니다. docker_sec_check.sh

파일 시작 부분에서 변수는 스캔해야 할 이미지와 Trivy 유틸리티가 지정된 오류 코드와 함께 종료되도록 하는 중요도 결함을 지정합니다.

스크립트 실행 중에 모든 유틸리티가 디렉토리에 다운로드됩니다. docker_tools, 작업 결과는 디렉토리에 있습니다. docker_tools/json, 보고서가 포함된 HTML이 파일에 포함됩니다. 결과.html.

예제 스크립트 출력

~/docker_cicd$ ./docker_sec_check.sh

[+] Setting environment variables
[+] Installing required packages
[+] Preparing necessary directories
[+] Fetching sample Dockerfile
2020-10-20 10:40:00 (45.3 MB/s) - ‘Dockerfile’ saved [8071/8071]
[+] Pulling image to scan
latest: Pulling from bkimminich/juice-shop
[+] Running Hadolint
...
Dockerfile:205 DL3015 Avoid additional packages by specifying `--no-install-recommends`
Dockerfile:248 DL3002 Last USER should not be root
...
[+] Running Dockle
...
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
...
[+] Running Trivy
juice-shop/frontend/package-lock.json
=====================================
Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 2, CRITICAL: 0)

+---------------------+------------------+----------+---------+-------------------------+
|       LIBRARY       | VULNERABILITY ID | SEVERITY | VERSION |             TITLE       |
+---------------------+------------------+----------+---------+-------------------------+
| object-path         | CVE-2020-15256   | HIGH     | 0.11.4  | Prototype pollution in  |
|                     |                  |          |         | object-path             |
+---------------------+------------------+          +---------+-------------------------+
| tree-kill           | CVE-2019-15599   |          | 1.2.2   | Code Injection          |
+---------------------+------------------+----------+---------+-------------------------+
| webpack-subresource | CVE-2020-15262   | LOW      | 1.4.1   | Unprotected dynamically |
|                     |                  |          |         | loaded chunks           |
+---------------------+------------------+----------+---------+-------------------------+

juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)

...

juice-shop/package-lock.json
============================
Total: 5 (CRITICAL: 5)

...
[+] Removing left-overs
[+] Making the output look pretty
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

모든 유틸리티가 포함된 Docker 이미지

세 번째 대안으로 두 개의 간단한 Dockerfile을 컴파일하여 보안 유틸리티가 포함된 이미지를 생성했습니다. 하나의 Dockerfile은 저장소에서 이미지를 스캔하기 위한 세트를 구축하는 데 도움이 되고, 두 번째 Dockerfile_tar는 이미지가 포함된 tar 파일을 스캔하기 위한 세트를 구축하는 데 도움이 됩니다.

1. 저장소에서 해당 Docker 파일과 스크립트를 가져옵니다. https://github.com/Swordfish-Security/docker_cicd/tree/master/Dockerfile.
2. 조립을 위해 출시합니다.

docker build -t dscan:image -f docker_security.df .

3. 조립이 완료되면 이미지에서 컨테이너를 만듭니다. 동시에 관심 있는 이미지 이름과 함께 DOCKERIMAGE 환경 변수를 전달하고 분석하려는 Dockerfile을 머신에서 파일로 마운트합니다. /도커파일 (이 파일의 절대 경로가 필요합니다.):

docker run --rm -v $(pwd)/results:/results -v $(pwd)/docker_security.df:/Dockerfile -e DOCKERIMAGE="bkimminich/juice-shop" dscan:image

[+] Setting environment variables
[+] Running Hadolint
/Dockerfile:3 DL3006 Always tag the version of an image explicitly
[+] Running Dockle
WARN    - DKL-DI-0006: Avoid latest tag
        * Avoid 'latest' tag
INFO    - CIS-DI-0005: Enable Content trust for Docker
        * export DOCKER_CONTENT_TRUST=1 before docker pull/build
INFO    - CIS-DI-0006: Add HEALTHCHECK instruction to the container image
        * not found HEALTHCHECK statement
INFO    - DKL-LI-0003: Only put necessary files
        * unnecessary file : juice-shop/node_modules/sqlite3/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm64/Dockerfile
        * unnecessary file : juice-shop/node_modules/sqlite3/tools/docker/architecture/linux-arm/Dockerfile
[+] Running Trivy
...
juice-shop/package-lock.json
============================
Total: 20 (UNKNOWN: 0, LOW: 1, MEDIUM: 6, HIGH: 8, CRITICAL: 5)
...
[+] Making the output look pretty
[+] Starting the main module ============================================================
[+] Converting JSON results
[+] Writing results HTML
[+] Clean exit ============================================================
[+] Everything is done. Find the resulting HTML report in results.html

조사 결과

우리는 Docker 아티팩트를 검색하기 위한 하나의 기본 유틸리티 세트만 살펴보았는데, 제 생각에는 이미지 보안 요구 사항의 상당 부분을 매우 효과적으로 다루고 있습니다. 또한 동일한 검사를 수행하고, 멋진 보고서를 작성하거나, 순전히 콘솔 모드에서 작업하고, 컨테이너 관리 시스템을 보호하는 등의 작업을 수행할 수 있는 수많은 유료 및 무료 도구가 있습니다. 이러한 도구에 대한 개요와 통합 방법은 조금 나중에 나타날 수 있습니다. .

이 문서에 설명된 도구 세트의 좋은 점은 모두 오픈 소스이며 이러한 도구와 기타 유사한 도구를 실험하여 요구 사항과 인프라에 적합한 것을 찾을 수 있다는 것입니다. 물론, 발견된 모든 취약점은 특정 조건에서의 적용 가능성에 대해 연구되어야 하지만 이는 향후 대규모 기사의 주제입니다.

이 가이드, 스크립트 및 유틸리티가 귀하에게 도움이 되고 컨테이너화 분야에서 보다 안전한 인프라를 구축하기 위한 출발점이 되기를 바랍니다.

출처 : habr.com