Segurança em Ambientes Conteinerizados

Parte #1: Análise do Ecossistema de Segurança de Contêineres

A adoção de contêineres Docker está crescendo rapidamente. Oitenta e três por cento das empresas de cloud computing, tanto pública quanto privada estão usando ou planejando usar o Docker de acordo com a última pesquisa da RightScale, o Gartner prevê que, até 2020, mais de 50% das organizações globais estarão executando aplicações em contêineres em produção. No entanto, as preocupações com segurança continuam sendo um dos principais desafios. No mais recente estudo da Cloud Native Computing Foundation (CNCF), 43% dos entrevistados identificaram a segurança como o maior obstáculo na adoção de contêineres.

Entre os principais problemas de segurança, está o próprio daemon do Docker, que pode representar uma vulnerabilidade à segurança. Para usar e executar os contêineres Docker, é usado o daemon do Docker, um ambiente de execução persistente para contêineres. O daemon do Docker requer privilégios de root. Portanto, é necessário ter um cuidado maior ao escolher os usuários que terão acesso a esse processo e o local onde ele residirá.

Para construir os contêineres, o Docker usa imagens que podem ser criadas e carregadas em repositórios públicos como o Docker Hub, por organizações e usuários individuais. O Docker Hub é o repositório oficial de imagens que é mantido pela Docker, e com mais de 650.000 usuários registrados, este é o maior host de imagens públicas do Docker. O Docker Hub também possui repositórios oficiais que são revisados ​​pela Docker, no entanto o número de repositórios supera em muito os oficiais. Como os repositórios no Docker Hub são atualizados e mantidos apenas pelos usuários, isso cria problemas com a segurança das imagens devido à falta de controle da Docker sobre a freqüência com que bibliotecas e aplicativos nessas imagens são atualizados. As imagens podem passar meses sem atualizar e se uma imagem estiver usando bibliotecas ou aplicativos desatualizados, ela poderá conter vulnerabilidades que potencialmente poderia comprometer o sistema de contêiner ou o sistema operacional do host. Isto é um problema no uso de contêineres, uma vez que ele trabalha muito mais perto do sistema operacional host do que uma máquina virtual normal (VM). Além disso, se um invasor fizer o upload de uma imagem contendo malware, isso pode permitir que o invasor acesse remotamente o aplicativo que um usuário tenha implantado.

Estas são algumas preocupações relacionadas a segurança que devemos ter ao implementar ambientes conteinerizados. Nos próximos artigos desta série irei apresentar outros diversos estudos relacionados à segurança de contêineres.

Deixe um comentário abaixo com sugestões, dicas ou críticas. Obrigado pela leitura e um grande abraço!