{"id":253194,"date":"2022-05-21T16:09:00","date_gmt":"2022-05-21T13:09:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=253194"},"modified":"2023-06-19T03:59:34","modified_gmt":"2023-06-19T00:59:34","slug":"os-conteineres-estao-em-toda-parte-como-voce-os-protege","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/pt-pt\/os-conteineres-estao-em-toda-parte-como-voce-os-protege\/","title":{"rendered":"Os cont\u00eaineres est\u00e3o em toda parte: como voc\u00ea os protege?"},"content":{"rendered":"\n

Os cont\u00eaineres est\u00e3o aumentando em n\u00famero a cada dia e parecem estar em todos os lugares, pois as organiza\u00e7\u00f5es est\u00e3o ansiosas para colher os muitos benef\u00edcios oferecidos por eles, como desenvolvimento e implanta\u00e7\u00e3o de aplicativos \u00e1geis<\/strong> em todas as plataformas.<\/p>\n

Muitos tamb\u00e9m acreditam que o uso de cont\u00eaineres pode ajud\u00e1-los a minimizar as restri\u00e7\u00f5es de seguran\u00e7a devido \u00e0 sua natureza de vida curta. Isso \u00e9 verdade ou apenas mais um equ\u00edvoco?<\/p>\n

Embora os cont\u00eaineres n\u00e3o tenham inseguran\u00e7as inerentes, eles geralmente s\u00e3o implantados de maneira n\u00e3o segura, resultando em v\u00e1rios desafios de seguran\u00e7a.<\/p>\n

Desafios de seguran\u00e7a ao implantar cont\u00eaineres<\/h2>\n

O grande n\u00famero, versatilidade e estado ef\u00eamero dos cont\u00eaineres implantados, al\u00e9m do fato de que os cont\u00eaineres devem se comunicar com outras entidades, fazem com que as organiza\u00e7\u00f5es n\u00e3o tenham a capacidade de possuir visibilidade adequada do tr\u00e1fego entre cont\u00eaineres.<\/p>\n

Gra\u00e7as a essa falta de visibilidade, os cont\u00eaineres s\u00e3o muitas vezes esquecidos e as medidas de preven\u00e7\u00e3o de intrus\u00e3o e os controles de seguran\u00e7a tornam-se ineficazes, aumentando a superf\u00edcie de ataque e, portanto, o risco geral do neg\u00f3cio. Al\u00e9m disso, a falta de visibilidade pode resultar em uma escassez de responsabilidade, pois os cont\u00eaineres atravessam diferentes ambientes, desde o desenvolvimento at\u00e9 a produ\u00e7\u00e3o.<\/p>\n

Outro desafio de seguran\u00e7a relacionado aos cont\u00eaineres \u00e9 o mau gerenciamento de vulnerabilidades. Por exemplo, ao clonar imagens existentes para criar novos cont\u00eaineres, suas vulnerabilidades tamb\u00e9m ser\u00e3o replicadas.<\/p>\n

Isso destaca a necessidade de que a seguran\u00e7a seja parte integrante da estrat\u00e9gia de cont\u00eainer organizacional<\/a>. Caso contr\u00e1rio, erros de configura\u00e7\u00e3o e patches ausentes podem ser o motivo da implanta\u00e7\u00e3o e execu\u00e7\u00e3o de imagens n\u00e3o autorizadas em ambientes de produ\u00e7\u00e3o, levando a uma maior superf\u00edcie de ataque e ataques mais bem-sucedidos.<\/p>\n

Finalmente, como os cont\u00eaineres usam um kernel do sistema operacional compartilhado, um comprometimento do kernel do sistema operacional do host por um cont\u00eainer n\u00e3o autorizado pode levar \u00e0 perda de acesso a todos ou quaisquer cont\u00eaineres<\/a> em execu\u00e7\u00e3o no host, da mesma forma que potencialmente outros hosts na rede.<\/p>\n

Como proteger seus cont\u00eaineres<\/h2>\n

Talvez a melhor pr\u00e1tica para proteger seu ambiente em cont\u00eainer seja reconhecer a necessidade de faz\u00ea-lo. Exceto por esse conceito fundamental, h\u00e1 alguns bons conselhos a serem seguidos para proteger efetivamente seus cont\u00eaineres.<\/p>\n

Tenha visibilidade em seus cont\u00eaineres<\/h2>\n

Antes de implantar um cont\u00eainer, certifique-se de entender suas depend\u00eancias e o que est\u00e1 inclu\u00eddo nele. Para garantir que suas imagens de cont\u00eainer sejam imaculadas, voc\u00ea deve obter visibilidade em todas as etapas, desde o desenvolvimento at\u00e9 a produ\u00e7\u00e3o.<\/p>\n

N\u00e3o confiar no software de um container \u00e9 um \u00f3timo ponto de partida. Voc\u00ea deve verific\u00e1-lo completamente para entender “de onde eles v\u00eam, como foram produzidos e suas fontes correspondentes", como Dirk Hohndel, vice-presidente da VMware, apontou no Open Source Leadership Summit 2019<\/a>.<\/p>\n

Em poucas palavras, verifique novamente o conte\u00fado de seus cont\u00eaineres antes de implant\u00e1-los e nunca execute um cont\u00eainer com software desconhecido ou obsoleto. S\u00f3 porque uma imagem de cont\u00eainer afirma conter os melhores e mais recentes programas e bibliotecas, isso n\u00e3o significa que ela realmente cont\u00e9m.<\/p>\n

Uma maneira de mitigar esse problema \u00e9 usar aplicativos que podem ajud\u00e1-lo a limpar seus cont\u00eaineres<\/a>. Embora eu n\u00e3o goste de reinventar a roda, talvez a melhor abordagem seja parar de usar imagens de cont\u00eainer de outras pessoas.<\/p>\n

Se voc\u00ea, assim como o Hercules, seguir o caminho mais dif\u00edcil do Virtue e come\u00e7ar a construir suas pr\u00f3prias imagens de cont\u00eainer, ter\u00e1 uma compreens\u00e3o muito melhor do que est\u00e1 acontecendo dentro dos cont\u00eaineres, o que traz benef\u00edcios al\u00e9m da seguran\u00e7a.<\/p>\n

Controle o acesso root<\/h2>\n

A maioria dos cont\u00eaineres \u00e9 constru\u00edda com acesso root por padr\u00e3o. No entanto, esta \u00e9 uma pr\u00e1tica question\u00e1vel. Embora seja mais f\u00e1cil para os desenvolvedores executarem cont\u00eaineres como root, existem enormes riscos com o acesso root.<\/p>\n

Existem v\u00e1rias abordagens para lidar com esse problema. Uma maneira \u00e9 verificar uma pol\u00edtica corporativa de que nenhum cont\u00eainer pode ser executado como root. Uma maneira alternativa \u00e9 exercer o princ\u00edpio do privil\u00e9gio m\u00ednimo. Voc\u00ea pode especificar um usu\u00e1rio n\u00e3o raiz no Dockerfile, ao criar uma imagem de cont\u00eainer, para executar o cont\u00eainer como esse usu\u00e1rio espec\u00edfico com o acesso m\u00ednimo ao sistema necess\u00e1rio.<\/p>\n

Por fim, voc\u00ea tamb\u00e9m pode usar o namespace do usu\u00e1rio<\/a> ao executar processos de cont\u00eainer privilegiados para auxiliar os cont\u00eaineres seguros. Com esse m\u00e9todo, o UID para executar esses processos dentro do cont\u00eainer \u00e9 zero (que \u00e9 a raiz), mas fora do cont\u00eainer o UID \u00e9 o 1000 sem privil\u00e9gios.<\/p>\n

Verifique o tempo de execu\u00e7\u00e3o do cont\u00eainer<\/h2>\n

O SP 800-190 do National Institute of Standards and Technology (NIST) SP 800-190 ” Guia de Seguran\u00e7a de Cont\u00eainer de Aplicativos<\/a> ” aponta que os tempos de execu\u00e7\u00e3o de cont\u00eainer tamb\u00e9m s\u00e3o vulner\u00e1veis \u200b\u200ba ataques. Embora essa n\u00e3o seja uma lacuna de seguran\u00e7a comum, o NIST aponta que as vulnerabilidades de seguran\u00e7a de tempo de execu\u00e7\u00e3o do cont\u00eainer podem ser ” particularmente perigosas<\/strong> ” se permitirem cen\u00e1rios em que softwares mal-intencionados possam atacar recursos em outros cont\u00eaineres e no pr\u00f3prio sistema operacional host.<\/p>\n

Um invasor tamb\u00e9m pode explorar vulnerabilidades para comprometer o pr\u00f3prio software de tempo de execu\u00e7\u00e3o e, em seguida, alterar esse software para permitir que o invasor acesse outros cont\u00eaineres, monitore as comunica\u00e7\u00f5es entre cont\u00eaineres etc.<\/p>\n

Problemas de seguran\u00e7a s\u00e3o muito mais comuns com configura\u00e7\u00f5es de tempo de execu\u00e7\u00e3o. Os tempos de execu\u00e7\u00e3o de cont\u00eainer geralmente exp\u00f5em muitas op\u00e7\u00f5es configur\u00e1veis. Configur\u00e1-los incorretamente pode diminuir a seguran\u00e7a relativa do sistema.<\/p>\n

Por exemplo<\/strong>, em hosts de cont\u00eainer do Linux, o conjunto de chamadas de sistema permitidas geralmente \u00e9 limitado por padr\u00e3o apenas \u00e0s necess\u00e1rias para a opera\u00e7\u00e3o segura de cont\u00eaineres. Se essa lista for ampliada, ela poder\u00e1 expor os cont\u00eaineres e o sistema operacional host a um risco maior de um cont\u00eainer comprometido.<\/p>\n

Da mesma forma, se um cont\u00eainer for executado em modo privilegiado, ele ter\u00e1 acesso a todos os dispositivos no host, permitindo que ele aja essencialmente como parte do sistema operacional do host e impacte todos os outros cont\u00eaineres executados nele.<\/p>\n

Outro exemplo de uma configura\u00e7\u00e3o de tempo de execu\u00e7\u00e3o insegura \u00e9 permitir que os cont\u00eaineres montem diret\u00f3rios confidenciais no host. Se um cont\u00eainer comprometido puder fazer altera\u00e7\u00f5es nesses caminhos, ele poder\u00e1 ser usado para elevar privil\u00e9gios e atacar o pr\u00f3prio host, bem como outros cont\u00eaineres em execu\u00e7\u00e3o no host.<\/p>\n

Endure\u00e7a o sistema operacional<\/h2>\n

O NIST tamb\u00e9m recomenda a execu\u00e7\u00e3o de um sistema operacional espec\u00edfico de cont\u00eainer<\/a> porque as amea\u00e7as geralmente s\u00e3o m\u00ednimas, pois os SOs s\u00e3o projetados especificamente para hospedar cont\u00eaineres e t\u00eam outros servi\u00e7os e funcionalidades desabilitados.<\/p>\n

Al\u00e9m disso, como esses sistemas operacionais otimizados s\u00e3o projetados especificamente para hospedar cont\u00eaineres, eles normalmente apresentam sistemas de arquivos somente leitura e empregam outras pr\u00e1ticas de prote\u00e7\u00e3o por padr\u00e3o. Sempre que poss\u00edvel, as organiza\u00e7\u00f5es devem usar esses SOs minimalistas para reduzir suas superf\u00edcies de ataque e mitigar os riscos t\u00edpicos e as atividades de prote\u00e7\u00e3o associadas aos SOs de uso geral.<\/p>\n

As organiza\u00e7\u00f5es que n\u00e3o podem usar um sistema operacional espec\u00edfico de cont\u00eainer devem seguir as orienta\u00e7\u00f5es do NIST SP 800-123, Guide to General Server Security<\/a> para reduzir ao m\u00e1ximo a superf\u00edcie de ataque de seus hosts.<\/p>\n

Por exemplo<\/strong>, os hosts que executam cont\u00eaineres devem executar apenas cont\u00eaineres e n\u00e3o outros aplicativos, como um servidor Web ou banco de dados, fora dos cont\u00eaineres. O sistema operacional host n\u00e3o deve executar servi\u00e7os de sistema desnecess\u00e1rios, como um spooler de impress\u00e3o, que aumenta sua superf\u00edcie de ataque.<\/p>\n

Por fim, os hosts devem ser continuamente verificados quanto a vulnerabilidades e atualiza\u00e7\u00f5es aplicadas rapidamente, n\u00e3o apenas ao tempo de execu\u00e7\u00e3o do cont\u00eainer, mas tamb\u00e9m a componentes de n\u00edvel inferior, como o kernel do qual os cont\u00eaineres dependem para uma opera\u00e7\u00e3o segura e compartimentada.<\/p>\n

A seguran\u00e7a do cont\u00eainer \u00e9 uma prioridade<\/h2>\n

Com cada vez mais empresas adotando e implantando cont\u00eaineres, sua seguran\u00e7a est\u00e1 se tornando uma das principais prioridades dos neg\u00f3cios. De acordo com uma pesquisa recente<\/a>, 94%<\/strong> dos entrevistados sofreram um incidente de seguran\u00e7a em seus ambientes de cont\u00eainer. Isso apenas destaca a import\u00e2ncia de obter direitos de seguran\u00e7a de cont\u00eainer para proteger sua empresa e seus clientes.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Os cont\u00eaineres est\u00e3o aumentando em n\u00famero a cada dia e parecem estar em todos os lugares, pois as organiza\u00e7\u00f5es est\u00e3o ansiosas para colher os muitos benef\u00edcios oferecidos por eles, como desenvolvimento e implanta\u00e7\u00e3o de aplicativos \u00e1geis em todas as plataformas.<\/p>\n","protected":false},"author":1,"featured_media":243869,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8592,8480,8439],"tags":[],"class_list":["post-253194","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diversos","category-vpn-e-privacidade","category-vpn-para-computadores"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/pt-pt\/wp-json\/wp\/v2\/posts\/253194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/pt-pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/pt-pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/pt-pt\/wp-json\/wp\/v2\/comments?post=253194"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/pt-pt\/wp-json\/wp\/v2\/posts\/253194\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/pt-pt\/wp-json\/wp\/v2\/media\/243869"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/pt-pt\/wp-json\/wp\/v2\/media?parent=253194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/pt-pt\/wp-json\/wp\/v2\/categories?post=253194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/pt-pt\/wp-json\/wp\/v2\/tags?post=253194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}