Контейнерная Виртуализация
Антоненко Виталий
PT Meetup. Контейнеры.
2
Что делает сообщество?
• Улучшает внутренняя безопасность ядра и
поддержку пространств имён и групп
• Атаки направленные на Docker демона
• Лазейки в профиле конфигурации контейнера
• Разработка «Упрочняющие» функции безопасности
ядра и их взаимодействие с контейнерами
PT Meetup. Контейнеры.
3
Требования безопасности
• Необходимо защищать Docker daemon
• Верифицировать клиента репозитория с помощью
сертификатов
• Использовать только «доверенные» образы
• образы контейнеров должны содержать только то,
что нужно приложению.
PT Meetup. Контейнеры.
4
Специализированные Средства
• Сканеры образов
• Clair от CoreOS
• Docker Security Scanning
• Сканер + Мониторинг + Анализатор состояния
• Twistlock
PT Meetup. Контейнеры.
5
Средства Docker
• Docker Bench
• cценарий, который может проверить контейнеры и
конфигурации безопасности своих хостов на соответствие
с набором лучших практик, предоставленных
Center for Internet Security.
• Docker Swarm
• по состоянию на версию Docker 1.12 встроенный в Docker
• обеспечивает узлы, на которых установлен Docker
поддержкой сертификатов Transport Layer Security (TLS) и
шифрует обмен данными между ними.
• Docker Content Trust
PT Meetup. Контейнеры.
6
Docker Content Trust
• DCT использует инфраструктуру публичных
ключей (PKI).
• Имеет два различных ключа — офлайновый
(базовый) и ключ-метку репозитория.
• У каждого репозитория свой уникальный ключметка, что позволяет владельцу ставить
электронную подпись на образах Docker для
конкретного репозитория.
• Ключ-метка применяется каждый раз, когда
новый контент добавляется в репозиторий или
удаляется из него.
• При наличии DCT издатель сможет
блокировать контент со взломанными
ключами, используя офлайновый ключ,
который должен храниться в надежном месте,
недоступном через Интернет.
PT Meetup. Контейнеры.
7
Не уверены в «прямоте своих
рук»?
• EC2
• контейнерный сервис от Amazon (сокращенно ECS)
• добавляя к вышеперечисленным функциям обеспечения
безопасности дополнительные, такие как Управление
идентификацией и доступом (IAM)
• Azure
• Google Cloud
• Docker Datacenter (или Docker cloud product)
PT Meetup. Контейнеры.
8
Спасибо за внимание!
Вопросы?
vantonenko@arccn.ru
Антоненко Виталий
PT Meetup. Контейнеры.
9