Segurança em Ambientes Conteinerizados

Conteinerização é um tipo de tecnologia de virtualização que recentemente cresceu muito, graças ao projeto Docker. A finalidade dos contêineres no Docker é poder definir facilmente instâncias virtuais sobre o sistema operacional do host permitindo que elas usem o mesmo kernel, ao mesmo tempo que permanecem isolados uns dos outros e do próprio host. Isto resulta em ambientes virtuais leves que podem ser implantados em um curto período de tempo, o que pode ser atraente em casos de uso que envolvem desenvolvimento e implantação de aplicações. Os contêineres são populares porque facilitam a criação, empacotamento e implantação de uma aplicação ou serviço e todas as suas dependências, em todo o seu ciclo de vida e em diferentes ambientes e destinos.

A segurança em ambientes conteinerizados é a proteção da integridade dos contêineres. Isso inclui desde as aplicações até a infraestrutura. Mas ainda há alguns desafios para garantir a segurança dos contêineres.

Existem alguns estudos/artigos que abordam problemas de segurança no uso de contêineres, como: vulnerabilidades de segurança nas imagens, superfícies de ataques, ataques de negação de serviço e mitigação de problemas de segurança. Entretanto, nenhum trata de forma ampla dos ambientes conteinerizados, mostrando problemas e propondo soluções, sendo este o diferencial desta série de artigos que estou começando a escrever, na qual será estudada as ferramentas que compõem o ecossistema de conteinerização, buscando identificar vulnerabilidades através de pesquisas e testes exploratórios utilizando ferramentas existentes.

Fiquem ligados, nos próximos dias irei postar mais sobre, focando em cada problema de segurança que podemos ter em ambientes conteinerizados e soluções para mantermos nossos ambientes seguros.

Deixe um comentário abaixo com sugestões, dicas ou críticas. Obrigado pela leitura e um grande abraço!

Análise do Ecossistema de Segurança de Contêineres

A adoção de contêineres Docker está crescendo rapidamente. Oitenta e três por cento das empresas de cloud computing, tanto pública quanto privada estão usando ou planejando usar o Docker de acordo com a última pesquisa da RightScale, o Gartner prevê que, até 2020, mais de 50% das organizações globais estarão executando aplicações em contêineres em produção. No entanto, as preocupações com segurança continuam sendo um dos principais desafios. No mais recente estudo da Cloud Native Computing Foundation (CNCF), 43% dos entrevistados identificaram a segurança como o maior obstáculo na adoção de contêineres.

Entre os principais problemas de segurança, está o próprio daemon do Docker, que pode representar uma vulnerabilidade à segurança. Para usar e executar os contêineres Docker, é usado o daemon do Docker, um ambiente de execução persistente para contêineres. O daemon do Docker requer privilégios de root. Portanto, é necessário ter um cuidado maior ao escolher os usuários que terão acesso a esse processo e o local onde ele residirá.

Para construir os contêineres, o Docker usa imagens que podem ser criadas e carregadas em repositórios públicos como o Docker Hub, por organizações e usuários individuais. O Docker Hub é o repositório oficial de imagens que é mantido pela Docker, e com mais de 650.000 usuários registrados, este é o maior host de imagens públicas do Docker. O Docker Hub também possui repositórios oficiais que são revisados ​​pela Docker, no entanto o número de repositórios supera em muito os oficiais. Como os repositórios no Docker Hub são atualizados e mantidos apenas pelos usuários, isso cria problemas com a segurança das imagens devido à falta de controle da Docker sobre a freqüência com que bibliotecas e aplicativos nessas imagens são atualizados. As imagens podem passar meses sem atualizar e se uma imagem estiver usando bibliotecas ou aplicativos desatualizados, ela poderá conter vulnerabilidades que potencialmente poderia comprometer o sistema de contêiner ou o sistema operacional do host. Isto é um problema no uso de contêineres, uma vez que ele trabalha muito mais perto do sistema operacional host do que uma máquina virtual normal (VM). Além disso, se um invasor fizer o upload de uma imagem contendo malware, isso pode permitir que o invasor acesse remotamente o aplicativo que um usuário tenha implantado.

Estas são algumas preocupações relacionadas a segurança que devemos ter ao implementar ambientes conteinerizados. Nos próximos artigos desta série irei apresentar outros diversos estudos relacionados à segurança de contêineres.

Deixe um comentário abaixo com sugestões, dicas ou críticas. Obrigado pela leitura e um grande abraço!

Fernando Silva·
3 min
·
3 cards

Read “Segurança em Ambientes Conteinerizados” on a larger screen, or in the Medium app!