Поиск по сайту:

Как программа проверенного издателя Docker помогает вашей безопасности


Docker упрощает развертывание контейнеров. Но как узнать, содержит ли контейнер, извлеченный из Docker Hub, бэкдоры или вредоносное ПО? Инициатива Docker Verified Publisher решает именно эту проблему.

Популярность делает вас мишенью

Киберпреступникам больше всего нравятся легкие пути к машинам жертв, и, разумеется, чем больше, тем веселее. Если продукт или платформа становятся чрезвычайно популярными, вы можете поспорить, что они привлекут внимание злоумышленников, которые попытаются использовать этот успех в своих интересах.

Docker — мировой лидер в области контейнеризации. Для многих людей это первое имя, которое приходит на ум при упоминании контейнеров. Контейнеры позволяют разработчикам заключать приложение и его зависимости в автономный пакет, называемый образом. Это упрощает распространение пакета, поскольку все, что требуется для запуска приложения, содержится внутри образа. Никогда не бывает неудовлетворенных зависимостей, независимо от того, на какой машине работает контейнер.

Контейнеры можно рассматривать как минималистичные виртуальные машины. Если они предоставляют приложение, им не нужна операционная система внутри контейнера. Им просто нужны зависимости приложения. Это уменьшает размер образов и повышает производительность при запуске контейнера. Содержимое контейнера запускается в операционной системе хост-компьютера, изолированно от других процессов.

Поскольку внутри контейнера меньше вещей, требующих ресурсов и вычислительной мощности, по сравнению с виртуальной машиной, они могут работать на более скромном оборудовании. Это означает, что на одном аппаратном обеспечении с хорошей производительностью можно запустить больше из них, чем на традиционных виртуальных машинах. Даже контейнеры, созданные для разных дистрибутивов Linux, представляют собой просто снимки файловой системы дистрибутива. Они запускаются с использованием ядра хост-компьютера.

Многие технологии и приложения внутри контейнеров имеют открытый исходный код. Это означает, что они могут свободно распространяться и использоваться кем угодно. Контейнеры Docker позволяют вам принять принцип, согласно которому к серверам следует относиться как к скоту, а не как к домашним животным. Преимущества контейнеров не только привели к широкому распространению непрерывной интеграции и непрерывного развертывания (CI/CD), но и сделали их возможными.

Mirantis купила Docker в ноябре 2019 года. В то время Docker Enterprise использовали 30 % компаний из списка Fortune 100 и 20 % из Global 500. Сегодня Docker Hub обслуживает умопомрачительные 13 миллиардов извлечений изображений — загрузок контейнеров — за один раз. в месяц из почти 8 миллионов репозиториев.

Эти цифры слишком впечатляют, чтобы киберпреступники могли их игнорировать. Что может быть проще, чем создавать скомпрометированные и вредоносные образы, загружать их в Docker Hub и ждать, пока ничего не подозревающие пользователи загрузят и используют их?

Проблема с небезопасными изображениями

Существует неотъемлемая проблема с извлечением изображений из репозитория и их использованием. Вы не знаете, были ли они созданы с учетом безопасности, или компоненты программного обеспечения внутри контейнера являются текущими версиями и все еще находятся в поддерживаемом ими жизненном цикле. Применены ли к ним все доступные исправления ошибок и исправления безопасности? Или, что еще хуже, содержат ли они вредоносный код, преднамеренно внедренный злоумышленниками?

Docker сталкивается с той же проблемой, что и Apple и Google. Apple и Google должны попытаться контролировать App Store и Google Play на наличие вредоносных приложений. Docker использует несколько иной подход. Docker удаляет образы контейнеров, которые признаны вредоносными. Он также предоставляет схему проверки для издателей контейнеров.

Раньше Docker удалял коллекцию изображений, загруженных учетной записью Docker docker123321. Из этой единственной учетной записи было 17 или около того контейнеров, содержащих вредоносный код. Образы предлагались как невинные контейнеры, поддерживающие такие приложения, как Apache Tomcat и MySQL, но, кроме того, контейнеры содержали код, который предоставлял злоумышленникам обратные оболочки SSH, позволяя им получать доступ к контейнерам, когда им это было удобно.

Были обнаружены обратные оболочки Python и обратные оболочки Bash, а в одном контейнере даже содержался SSH-ключ злоумышленника. Это дало им удаленный доступ без необходимости ввода пароля. В других контейнерах было обнаружено программное обеспечение для криптомайнинга. Это означало, что контейнеры были взломаны заранее. Ничего не подозревающий пользователь будет платить за электроэнергию и терять вычислительную мощность, чтобы финансировать криптовалютный майнинг Monero киберпреступника.

Эти атаки представляют собой смесь троянских коней и атак на цепочки поставок.

Программа проверенного издателя

Docker уже предоставляет коллекцию образов контейнеров, известную как официальные образы. Эти образы представляют собой тщательно подобранный набор контейнеров, проверенных специальной командой Docker.

Команда сотрудничает с вышестоящими мейнтейнерами и поставщиками программного обеспечения в контейнерах. Официальные образы — это примеры лучших практик использования контейнеров Docker, включая четкую документацию и применение исправлений безопасности. Официальные образы Docker в последнее время стали доступны более широкой аудитории через большее количество репозиториев.

Инициатива Verified Publisher обеспечивает доступ к контенту Docker, отличающемуся тем, что он поступает от известных, проверенных и надежных поставщиков. Более 200 поставщиков программного обеспечения подписались и ратифицировали схему, и их число быстро растет. Образы от проверенных издателей можно с уверенностью использовать в критически важных приложениях и инфраструктуре.

Программы Verified Publisher и Official Images дополняют друг друга. Многие образы контейнеров, предоставляемые проверенными издателями, также являются официальными образами. Пара флажков на странице Docker Hub Explore позволяет указать, что результаты поиска должны включать только официальные изображения, изображения, предоставленные проверенными издателями, или и то, и другое.

Приветственная инициатива

Атаки SolarWinds и CodeCov показали, насколько эффективными могут быть атаки на цепочки поставок. Атака на центральную точку, которая затем компрометирует нижестоящих потребителей продуктов и услуг, является эффективным методом распространения. Скомпрометированные контейнеры — идеальный способ распространения этого типа атаки. Он играет на убеждении, что определенные источники информации и программного обеспечения по своей сути безопасны и им можно доверять. И вообще, это так. Но, как мы видели, это большое предположение.

Очень важно, чтобы организации четко представляли происхождение и целостность контейнеров, которые они извлекают из репозиториев. Официальные изображения и проверенные издатели можно рассматривать как форму сертификации, которая упрощает понимание того, чему можно доверять прямо из коробки.

Если вы создаете общедоступные образы Docker и считаете, что стать проверенным издателем будет выгодно для вас, вы можете начать процесс подачи заявки на участие в схеме на веб-странице проверенного издателя.