Tipisku Docker un Kubernetes instalāciju (trūkstošās) drošības izpēte

Es strādāju IT jomā vairāk nekā 20 gadus, bet kaut kā nekad neesmu tikusi līdz konteineriem. Teorētiski es sapratu, kā tās ir strukturētas un kā tās darbojas. Bet, tā kā es nekad nebiju ar tiem saskāries praksē, es nebiju pārliecināts, kā tieši zobrati zem to pārsega griežas un griezās.

Turklāt man nebija ne jausmas, kāda ir viņu drošība. Bet atkal teorija izklausās jauki, un manā galvā iestrēga vecā dziesma “palielinoties drošībai, samazinās lietojamība”. Tāpēc domāju, ka tā kā ar konteineriem viss ir tik vienkārši izdarāms, tad drošība tur ir zem nominālvērtības. Kā izrādījās, man bija taisnība.

Lai ātri sāktu, es pierakstījos kursos Melna cepure 2020 ar nosaukumu "No lupatām līdz bagātībām: Docker Swarm un Kubernetes vides iespiešanās un aizsardzība'.

Kurss, ko pasniedza Šeila A. Berta un Sols Ozans, nekavējoties sākās ar aprakstu par to, kā darbojas Docker konteineri un kāds ir to ceļojums, kad tie tiek izvietoti Kubernetes. Šī bija pilnīgi praktiska nodarbība – skolēniem pirms nodarbības savās mašīnās bija jāinstalē Docker un microk8s – tas ir lielisks veids, kā redzēt, kā rīki mijiedarbojas viens ar otru, atrast vājās vietas un, galvenais, mēģināt tās bloķēt.

Diemžēl, lai gan kursi pēc divām dienām solīja kļūt par “princi”, es jutu, ka viss tikai sākas, un man vēl daudz jāmācās.

Pirms iedziļināties manos augstajos novērojumos, ir svarīgi paskaidrot, kas ir konteiners. Izstrādes pasaulē tiek uzskatīts par normālu, ka jūsu personīgajā mašīnā ierakstītais kods darbojas nevainojami, bet, mēģinot to palaist kaut kur serverī, tas vienkārši nedarbojas. Konteineri cenšas pārvarēt šo problēmu, nodrošinot autonomas mašīnas, kuras varat viegli pārvietot no viena servera uz otru, zinot, ka tās vienmēr darbosies. Kā norāda nosaukums, tie satur kodu, bibliotēkas un citu programmatūru, kas nepieciešama darba veikšanai. Savukārt Kubernetes ir orķestrēšanas platforma konteineriem. Principā to var izmantot, lai nemanāmi pārvaldītu simtiem vai tūkstošiem dažādu konteineru.

Zemāk ir daži no maniem atklājumiem no sarkanās un zilās komandas viedokļa.

Sarkanā komanda

Lielākā daļa konteinera satura darbojas kā root: Tas nozīmē, ka, ja konteiners ir apdraudēts, jums būs pilna piekļuve konteineram. Tas ievērojami atvieglo nākamās darbības.

Docker.zeķu uzstādīšana konteinerā ir bīstama: ja jums ir sakne konteinerā un arī Docker ir instalēta konteinerā, kuram ir Docker ligzda (/var/run/docker.sock), jums ir iespēja izpētīt visu kopu, tostarp piekļuvi jebkuram citam konteineram. Šādu piekļuvi nevar novērst ar tīkla izolāciju vai citiem līdzekļiem.

Vides mainīgie bieži satur slepenus datus: vairumā gadījumu cilvēki sūta paroles uz konteineru, izmantojot parastos vides mainīgos. Tātad, ja jums ir piekļuve kontam, varat izspiegot šos vides mainīgos, lai vēlāk paplašinātu savas pilnvaras.

Docker API var sniegt daudz informācijas: Docker API, ja tā ir konfigurēta pēc noklusējuma, darbojas bez atļaujas un var radīt daudz informācijas. Izmantojot Shodan, varat viegli atrast atvērto portu sarakstu, pēc tam iegūt detalizētu informāciju par kopu un pāriet uz tā pilnīgu uztveršanu. TrendMicro rakstīja par to interesantākais raksts.

Zilā komanda

Nepalaidiet konteinera saturu kā root: Lai gan to ir vieglāk palaist kā root, jums nevajadzētu to darīt. Tā vietā palaidiet lietojumprogrammas ar atiestatīšanas atļaujām, parādot uid, izmantojot opciju --user, palaižot no CLI, vai Dockerfile norādot LIETOTĀJU.

Neļaujiet konteineros instalēt programmatūru: Gandrīz katrs uzbrukums sākas ar kaut ko iestādīšanu. Sākot ar nmap un beidzot ar ifconfig līdz pašam Docker (konteinera iekšpusē), jebkura satura instalēšana konteinerā ir bijusi ierasta lieta. Tā paša iemesla dēļ jums vienmēr vajadzētu bloķēt visus neizmantotos portus. Tas arī palīdz novērst vadības komandu pārsūtīšanu, kad jūsu iekārta ir inficēta. Papildus programmu instalēšanas novēršanai ir vērts pārliecināties, ka minimālais lietojumprogrammu skaits, kas nepieciešams uzdevuma veikšanai, ir instalēts pašā konteinerā.

Aizsargājiet dokeru.zeķe: tas ir jāaizsargā, jo saziņa starp konteineru un kopu tiek apstrādāta caur šo ligzdu. Tā kā es nevēlos šajā rakstā iedziļināties, izlasiet piezīme no Docker, kas var notikt, un arī kā to visu bloķēt.

Vides mainīgo vietā izmantojiet Docker noslēpumus: Ir noslēpumi apmēram kopš 2017. Lai gan tas nav droši, tas joprojām ir labāks par vides mainīgajiem, lai nosūtītu slepenos datus uz konteineru.

Ja raksts ir izraisījis jūsu interesi par konteineriem, varat viegli instalēt Docker vai microk8s (nelielu Kubernetes versiju). Šeit ir norādījumi par Docker instalēšanu operētājsistēmai Linux un MacOS, un šeit — instrukcijas microk8s instalēšanai operētājsistēmām Windows, Linux un MacOS.

Pēc instalēšanas jūs varat doties šī ir īsa sākuma rokasgrāmata no Docker, līdzīga iespēja piedāvāja un microk8s.

Ja vēlaties vai vēlaties apgūt visaptverošu Docker kursu, kurā praktiski runātāji pārbauda visus tā rīkus: no pamata abstrakcijām līdz tīkla parametriem, niansēm darbā ar dažādām operētājsistēmām un programmēšanas valodām, tad izmēģiniet “Docker video kurss" Jūs iepazīsities ar tehnoloģiju un sapratīsit, kur un kā vislabāk izmantot Docker. Un tajā pašā laikā iegūstiet labākās prakses piemērus — labāk droši un ar praktizētāju atbalstu mācīties no stāstiem par grābekļiem, nevis personīgi no pašiem grābekļiem ar ķīļveida rokturiem.

Avots: www.habr.com