{"id":252613,"date":"2022-05-21T16:09:00","date_gmt":"2022-05-21T13:09:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=252613"},"modified":"2023-06-19T03:59:33","modified_gmt":"2023-06-19T00:59:33","slug":"kontenery-sa-wszedzie-jak-je-zabezpieczyc","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/pl\/kontenery-sa-wszedzie-jak-je-zabezpieczyc\/","title":{"rendered":"Kontenery s\u0105 wsz\u0119dzie: jak je zabezpieczy\u0107?"},"content":{"rendered":"\n

Liczba kontener\u00f3w ro\u015bnie ka\u017cdego dnia i wydaje si\u0119, \u017ce s\u0105 wsz\u0119dzie, poniewa\u017c organizacje ch\u0119tnie korzystaj\u0105 z wielu oferowanych przez nie korzy\u015bci, takich jak elastyczne tworzenie aplikacji i wdra\u017canie<\/strong> na wszystkich platformach.<\/p>\n

Wiele os\u00f3b uwa\u017ca r\u00f3wnie\u017c, \u017ce korzystanie z kontener\u00f3w mo\u017ce pom\u00f3c im zminimalizowa\u0107 ograniczenia bezpiecze\u0144stwa ze wzgl\u0119du na ich kr\u00f3tkotrwa\u0142y charakter. Czy to prawda, czy tylko kolejne b\u0142\u0119dne wyobra\u017cenie?<\/p>\n

Chocia\u017c kontenery nie maj\u0105 nieod\u0142\u0105cznych luk w zabezpieczeniach, cz\u0119sto s\u0105 wdra\u017cane w spos\u00f3b niezabezpieczony, co wi\u0105\u017ce si\u0119 z licznymi wyzwaniami zwi\u0105zanymi z bezpiecze\u0144stwem.<\/p>\n

Wyzwania zwi\u0105zane z bezpiecze\u0144stwem podczas wdra\u017cania kontener\u00f3w<\/h2>\n

Sama liczba, wszechstronno\u015b\u0107 i efemeryczny stan wdro\u017conych kontener\u00f3w oraz fakt, \u017ce kontenery musz\u0105 komunikowa\u0107 si\u0119 z innymi podmiotami, prowadz\u0105 do tego, \u017ce organizacje nie maj\u0105 mo\u017cliwo\u015bci posiadania odpowiedniej widoczno\u015bci ruchu mi\u0119dzy kontenerami.<\/p>\n

Z powodu braku widoczno\u015bci kontenery s\u0105 cz\u0119sto zapominane, a \u015brodki zapobiegania w\u0142amaniom i kontrole bezpiecze\u0144stwa staj\u0105 si\u0119 nieskuteczne, zwi\u0119kszaj\u0105c powierzchni\u0119 ataku, a tym samym og\u00f3lne ryzyko biznesowe. Ponadto brak widoczno\u015bci mo\u017ce skutkowa\u0107 niedoborem odpowiedzialno\u015bci, poniewa\u017c kontenery przechodz\u0105 przez r\u00f3\u017cne \u015brodowiska od rozwoju do produkcji.<\/p>\n

Kolejnym wyzwaniem bezpiecze\u0144stwa zwi\u0105zanym z kontenerami jest s\u0142abe zarz\u0105dzanie lukami. Na przyk\u0142ad podczas klonowania istniej\u0105cych obraz\u00f3w w celu tworzenia nowych kontener\u00f3w ich luki r\u00f3wnie\u017c zostan\u0105 zreplikowane.<\/p>\n

Podkre\u015bla to konieczno\u015b\u0107 zapewnienia bezpiecze\u0144stwa jako integralnej cz\u0119\u015bci organizacyjnej strategii kontenerowej<\/a>. W przeciwnym razie b\u0142\u0119dy konfiguracji i brakuj\u0105ce poprawki mog\u0105 by\u0107 przyczyn\u0105 wdra\u017cania i wykonywania nieautoryzowanych obraz\u00f3w w \u015brodowiskach produkcyjnych, co prowadzi do zwi\u0119kszonej powierzchni ataku i skuteczniejszych atak\u00f3w.<\/p>\n

Wreszcie, poniewa\u017c kontenery u\u017cywaj\u0105 wsp\u00f3\u0142dzielonego j\u0105dra systemu operacyjnego, z\u0142amanie j\u0105dra systemu operacyjnego hosta przez nieuczciwy kontener mo\u017ce prowadzi\u0107 do utraty dost\u0119pu do wszystkich lub dowolnych dzia\u0142aj\u0105cych kontener\u00f3w<\/a> na ho\u015bcie, podobnie jak potencjalnie innych host\u00f3w w sieci.<\/p>\n

Jak zabezpieczy\u0107 swoje kontenery<\/h2>\n

By\u0107 mo\u017ce najlepsz\u0105 praktyk\u0105 zabezpieczania \u015brodowiska kontenerowego jest uznanie takiej konieczno\u015bci. Opr\u00f3cz tej fundamentalnej koncepcji, istnieje kilka dobrych rad, kt\u00f3rych nale\u017cy przestrzega\u0107, aby skutecznie zabezpieczy\u0107 swoje kontenery.<\/p>\n

Miej wgl\u0105d w swoje kontenery<\/h2>\n

Przed wdro\u017ceniem kontenera upewnij si\u0119, \u017ce rozumiesz jego zale\u017cno\u015bci i co jest w nim zawarte. Aby mie\u0107 pewno\u015b\u0107, \u017ce obrazy kontener\u00f3w s\u0105 nieskazitelne, musisz zyska\u0107 widoczno\u015b\u0107 na ka\u017cdym etapie, od projektowania po produkcj\u0119.<\/p>\n

Brak zaufania do oprogramowania kontenera to \u015bwietny punkt wyj\u015bcia. Musisz to bardzo dok\u0142adnie sprawdzi\u0107, aby zrozumie\u0107 \u201esk\u0105d pochodz\u0105, jak zosta\u0142y wyprodukowane i jakie s\u0105 ich \u017ar\u00f3d\u0142a", jak zauwa\u017cy\u0142 Dirk Hohndel, wiceprezes VMware podczas 2019 Open Source Leadership Summit<\/a>.<\/p>\n

Kr\u00f3tko m\u00f3wi\u0105c, dok\u0142adnie sprawd\u017a zawarto\u015b\u0107 kontener\u00f3w przed ich wdro\u017ceniem i nigdy nie uruchamiaj kontenera z nieznanym lub przestarza\u0142ym oprogramowaniem. Tylko dlatego, \u017ce obraz kontenera twierdzi, \u017ce zawiera najnowsze i najlepsze programy i biblioteki, nie oznacza to, \u017ce faktycznie zawiera.<\/p>\n

Jednym ze sposob\u00f3w na z\u0142agodzenie tego problemu jest u\u017cycie aplikacji, kt\u00f3re mog\u0105 pom\u00f3c w oczyszczeniu kontener\u00f3w<\/a>. Chocia\u017c nie lubi\u0119 wymy\u015bla\u0107 ko\u0142a na nowo, by\u0107 mo\u017ce najlepszym rozwi\u0105zaniem jest zaprzestanie u\u017cywania obraz\u00f3w kontener\u00f3w innych os\u00f3b.<\/p>\n

Je\u015bli, podobnie jak Herkules, wybierzecie trudniejsz\u0105 drog\u0119 cnoty i zaczniecie tworzy\u0107 w\u0142asne obrazy kontener\u00f3w, znacznie lepiej zrozumiecie, co si\u0119 w nich dzieje, co ma wiele zalet poza bezpiecze\u0144stwem.<\/p>\n

Kontroluj dost\u0119p do roota<\/h2>\n

Wi\u0119kszo\u015b\u0107 kontener\u00f3w jest domy\u015blnie zbudowana z dost\u0119pem roota. Jest to jednak w\u0105tpliwa praktyka. Chocia\u017c programistom \u0142atwiej jest uruchamia\u0107 kontenery jako root, istnieje ogromne ryzyko zwi\u0105zane z dost\u0119pem do konta root.<\/p>\n

Istnieje kilka podej\u015b\u0107 do rozwi\u0105zania tego problemu. Jednym ze sposob\u00f3w jest ustalenie zasad firmy, \u017ce \u017cadne kontenery nie mog\u0105 nigdy dzia\u0142a\u0107 jako root. Alternatywnym sposobem jest skorzystanie z zasady najmniejszych przywilej\u00f3w. Podczas tworzenia obrazu kontenera mo\u017cna okre\u015bli\u0107 u\u017cytkownika innego ni\u017c root w pliku Dockerfile, aby uruchomi\u0107 kontener jako ten konkretny u\u017cytkownik z minimalnym wymaganym dost\u0119pem do systemu.<\/p>\n

Na koniec mo\u017cna r\u00f3wnie\u017c u\u017cy\u0107 przestrzeni nazw u\u017cytkownika<\/a> podczas uruchamiania uprzywilejowanych proces\u00f3w kontener\u00f3w, aby wspom\u00f3c bezpieczne kontenery. W przypadku tej metody identyfikator UID s\u0142u\u017c\u0105cy do uruchamiania tych proces\u00f3w w kontenerze wynosi zero (jest to katalog g\u0142\u00f3wny), ale poza kontenerem identyfikator UID to nieuprzywilejowany 1000.<\/p>\n

Sprawd\u017a \u015brodowisko wykonawcze kontenera<\/h2>\n

W dokumencie SP 800-190 National Institute of Standards and Technology (NIST) \u201e Application Container Security Guide<\/a> ” wskazano, \u017ce \u015brodowiska wykonawcze kontener\u00f3w s\u0105 r\u00f3wnie\u017c podatne na ataki. Chocia\u017c nie jest to powszechna luka w zabezpieczeniach, NIST wskazuje, \u017ce luki w zabezpieczeniach \u015brodowiska wykonawczego kontener\u00f3w mog\u0105 by\u0107 \u201e szczeg\u00f3lnie niebezpieczne<\/strong> „, je\u015bli pozwalaj\u0105 na scenariusze, w kt\u00f3rych z\u0142o\u015bliwe oprogramowanie mo\u017ce atakowa\u0107 zasoby w innych kontenerach i sam system operacyjny hosta.<\/p>\n

Atakuj\u0105cy mo\u017ce r\u00f3wnie\u017c wykorzysta\u0107 luki w zabezpieczeniach, aby z\u0142ama\u0107 samo oprogramowanie wykonawcze, a nast\u0119pnie zmieni\u0107 to oprogramowanie, aby umo\u017cliwi\u0107 atakuj\u0105cemu dost\u0119p do innych kontener\u00f3w, monitorowanie komunikacji mi\u0119dzy kontenerami itp.<\/p>\n

Problemy z bezpiecze\u0144stwem s\u0105 znacznie cz\u0119stsze w przypadku konfiguracji \u015brodowiska wykonawczego. \u015arodowiska uruchomieniowe kontenera zazwyczaj udost\u0119pniaj\u0105 wiele konfigurowalnych opcji. Niew\u0142a\u015bciwe ich ustawienie mo\u017ce obni\u017cy\u0107 wzgl\u0119dne bezpiecze\u0144stwo systemu.<\/p>\n

Na przyk\u0142ad<\/strong> na hostach kontener\u00f3w z systemem Linux zestaw dozwolonych wywo\u0142a\u0144 systemowych jest cz\u0119sto domy\u015blnie ograniczony tylko do tych, kt\u00f3re s\u0105 wymagane do bezpiecznego dzia\u0142ania kontener\u00f3w. Je\u015bli ta lista zostanie poszerzona, mo\u017ce narazi\u0107 kontenery i system operacyjny hosta na zwi\u0119kszone ryzyko ze strony zhakowanego kontenera.<\/p>\n

Podobnie, je\u015bli kontener jest uruchamiany w trybie uprzywilejowanym, ma dost\u0119p do wszystkich urz\u0105dze\u0144 na ho\u015bcie, co pozwala mu zasadniczo dzia\u0142a\u0107 jako cz\u0119\u015b\u0107 systemu operacyjnego hosta i wp\u0142ywa\u0107 na wszystkie inne dzia\u0142aj\u0105ce na nim kontenery.<\/p>\n

Innym przyk\u0142adem niezabezpieczonej konfiguracji \u015brodowiska uruchomieniowego jest umo\u017cliwienie kontenerom montowania poufnych katalog\u00f3w na ho\u015bcie. Je\u015bli zhakowany kontener mo\u017ce wprowadzi\u0107 zmiany w tych \u015bcie\u017ckach, mo\u017ce zosta\u0107 u\u017cyty do podniesienia uprawnie\u0144 i zaatakowania samego hosta oraz innych kontener\u00f3w dzia\u0142aj\u0105cych na ho\u015bcie.<\/p>\n

Utward\u017a system operacyjny<\/h2>\n

NIST zaleca r\u00f3wnie\u017c uruchomienie systemu operacyjnego specyficznego dla kontenera,<\/a> poniewa\u017c zagro\u017cenia s\u0105 zazwyczaj mniejsze, poniewa\u017c systemy operacyjne s\u0105 specjalnie zaprojektowane do obs\u0142ugi kontener\u00f3w i maj\u0105 wy\u0142\u0105czone inne us\u0142ugi i funkcje.<\/p>\n

Co wi\u0119cej, poniewa\u017c te zoptymalizowane systemy operacyjne s\u0105 zaprojektowane specjalnie do obs\u0142ugi kontener\u00f3w, zazwyczaj zawieraj\u0105 systemy plik\u00f3w tylko do odczytu i domy\u015blnie stosuj\u0105 inne metody wzmacniania. Gdy tylko jest to mo\u017cliwe, organizacje powinny u\u017cywa\u0107 tych minimalistycznych system\u00f3w operacyjnych, aby zmniejszy\u0107 powierzchni\u0119 ataku i z\u0142agodzi\u0107 typowe ryzyko i dzia\u0142ania wzmacniaj\u0105ce zwi\u0105zane z systemami operacyjnymi og\u00f3lnego przeznaczenia.<\/p>\n

Organizacje, kt\u00f3re nie mog\u0105 korzysta\u0107 z systemu operacyjnego specyficznego dla kontenera, powinny post\u0119powa\u0107 zgodnie ze wskaz\u00f3wkami zawartymi w NIST SP 800-123, Przewodnik po og\u00f3lnych zabezpieczeniach serwera<\/a>, aby maksymalnie ograniczy\u0107 powierzchni\u0119 ataku host\u00f3w.<\/p>\n

Na przyk\u0142ad<\/strong> hosty, kt\u00f3re uruchamiaj\u0105 kontenery, powinny uruchamia\u0107 tylko kontenery, a nie inne aplikacje, takie jak serwer sieciowy lub baza danych, poza kontenerami. System operacyjny hosta nie powinien uruchamia\u0107 niepotrzebnych us\u0142ug systemowych, takich jak bufor wydruku, kt\u00f3ry zwi\u0119ksza jego powierzchni\u0119 ataku.<\/p>\n

Wreszcie hosty powinny by\u0107 stale skanowane pod k\u0105tem luk w zabezpieczeniach i szybko instalowanych aktualizacji, nie tylko \u015brodowiska wykonawczego kontenera, ale tak\u017ce komponent\u00f3w ni\u017cszego poziomu, takich jak j\u0105dro, na kt\u00f3rym opieraj\u0105 si\u0119 kontenery w celu zapewnienia bezpiecznej, podzielonej na sekcje operacji.<\/p>\n

Bezpiecze\u0144stwo kontenera to najwy\u017cszy priorytet<\/h2>\n

Poniewa\u017c coraz wi\u0119cej firm przyjmuje i wdra\u017ca kontenery, ich bezpiecze\u0144stwo staje si\u0119 najwy\u017cszym priorytetem biznesowym. Wed\u0142ug niedawnej ankiety<\/a> 94%<\/strong> respondent\u00f3w do\u015bwiadczy\u0142o incydentu zwi\u0105zanego z bezpiecze\u0144stwem w swoich \u015brodowiskach kontenerowych. To tylko podkre\u015bla, jak wa\u017cne jest uzyskanie praw do ochrony kontener\u00f3w w celu ochrony firmy i klient\u00f3w.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Liczba kontener\u00f3w ro\u015bnie ka\u017cdego dnia i wydaje si\u0119, \u017ce s\u0105 wsz\u0119dzie, poniewa\u017c organizacje ch\u0119tnie korzystaj\u0105 z wielu oferowanych przez nie korzy\u015bci, takich jak elastyczne tworzenie aplikacji i wdra\u017canie na wszystkich platformach.<\/p>\n","protected":false},"author":1,"featured_media":243869,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8591,8438,8479],"tags":[],"class_list":["post-252613","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-roznorodny","category-vpn-dla-komputerow","category-vpn-i-prywatnosc"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/posts\/252613","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/comments?post=252613"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/posts\/252613\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/media\/243869"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/media?parent=252613"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/categories?post=252613"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/tags?post=252613"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}