analyse sécurité docker

Analyse sécurité Docker

carrés SecludIT

PROBLÈME

Lionel souhaite recourir à la technologie des conteneurs pour faciliter la conception d’architecture de test. Jusqu’à présent, il utilisait des machines virtuelles mais il souhaite faire des économies de stockage et pouvoir basculer facilement d’un environnement de test à un environnement de production.
Lionel effectue des tests de vulnérabilités sur son infrastructure mais il n’a pas les compétences en interne pour prendre en compte la sécurité de Docker. Etant donné que les projets qu’il va lancer sur Docker comprennent des données sensibles, il souhaite s’assurer qu’il ne va pas augmenter la surface d’attaque. Il a peur de perdre du temps avec une solution de sécurité complexe sans support de Docker car il doit fournir des indicateurs de risque supplémentaires à sa direction.

SOLUTION

ELASTIC WORKLOAD PROTECTOR

Docker et les autres technologies de conteneurs sont des méthodes de déploiement d’applications dans les environnements DevOps de plus en plus populaires. Cela s’explique par les avantages de la portabilité, l’efficacité du partage des ressources et la vitesse de déploiement.
Ces propriétés ont fait des conteneurs Docker un must. Cependant, cette technologie s’avère être un réel challenge pour effectuer des audits de sécurité et ajoute de la complexité à la sécurité globale.

Elastic Workload Protector exécute un ensemble de tests issus des recommandations des listes de contrôles standards :

CIS_Docker_1.12.0_Benchmarkv1
checklist-audit-docker-containers

CIS Docker Benchmarks” et la liste de contrôle SANS comprennent un aperçu des résultats obtenus à partir des paramètres de configuration de l’hôte, des paramètres du “Docker daemon”, des images des conteneurs, des paramètres d’exécution et des autres paramètres de sécurité de Docker.

Comme l’adoption de cette technologie se développe et que la technologie évolue, il est nécessaire d’être à jour avec les listes de contrôle standardisées pour la sécurité de Docker. Ces derniers étant basés sur les derniers outils et recommandations.

“L’expertise de SecludIT, tant sur AWS qu’en matière de bonnes pratiques de sécurité, et leurs technologies nous ont été une aide précieuse pour répondre aux enjeux de sécurité de notre PaaS et établir un socle de sécurité solide.” Samir Salibi, Directeur Marketing Wakanda.io

EXEMPLE DE RÉSULTAT D'ELASTIC WORKLOAD PROTECTOR

CIS DOCKER 5.3 Restrict Linux Kernel Capabilities within containers

By default, Docker starts containers with a restricted set of Linux Kernel Capabilities. It means that any process may be granted the required capabilities instead of root access. Using Linux Kernel Capabilities, the processes do not have to run as root for almost all the specific areas where root privileges are usually needed.

Docker supports the addition and removal of capabilities, allowing use of a non-default profile. This may make Docker more secure through capability removal, or less secure through the addition of capabilities. It is thus recommended to remove all capabilities except those explicitly required for your container process.

Verify that the added and dropped Linux Kernel Capabilities are in line with the ones needed for container process for each container instance.

Execute the below command to add needed capabilities: $> docker run –cap-add={« Capability 1″, »Capability 2 »} $> docker run –cap-drop={« Capability 1″, »Capability 2 »}