最も単純な検索用語を使用し、研究チームは、デフォルトの設定を使用してインターネットに接続されている40,000以上の容器プラットフォームを見つける見つけることができ、:2019「雲の脅威のリスク報告書」のショーによると、コンテナ技術の採用は、データ漏洩の可能性を増加していること
・中国本土23354のドッカー容器は、6015ドッカーコンテナの合計は、すべての国と地域で最初にランク付け、インターネットに公開されます。
・20353 Kubernetesコンテナ、11425米国Kubernetesコンテナの合計は、すべての国と地域で最初にランク付け、インターネットに公開されます。
雲の複雑さは、その最も弱い立場を決定:過去18ヶ月間で、ネットワークセキュリティインシデントの65%を構成エラーによって引き起こされ開示された、データの漏洩はでクラウドインフラとなっていた後の最初の大規模な結果。
不正なソフトウェアは、クラウド爪に拡張するために開始されます:現在は、企業の28%がRockeが操作し、組織への脅威としてのマルウェア暗号通貨とC2ドメインの通信、およびドメイン名を採掘している見つけました。研究チームは密接に作るか、またはアンインストールエージェントベースのクラウドセキュリティツールに失敗することができ、この組織を監視し、それが使用するユニークな戦術、技術および手順を見つけてきました。
どのようにドッカーコンテナ・セキュリティの強化?
1)ファイルレベルの保護システムの
ファイルシステムは読み取り専用:一部のLinuxシステムのカーネル・ファイル・システムがそうでない場合、プロセスがコンテナに衝突する、コンテナ環境をマウントする必要があります。これは非常に大きな便利な悪質なプロセスを与えるが、コンテナ内の実行中のアプリケーションのほとんどは、ファイルシステムへの実際の書き込みデータを必要としません。マウント時にこのような状況を踏まえ、開発者は、読み取り専用モードを使用することができます。
2)能力のメカニズム
Linuxは機能機構に説明したが、非常に特権プロセス(ユーザーIDが0で権限チェックを実行するために、伝統的なUNIXのプロセスは、2つの異なる分類を達成することは明らかである、スーパーユーザまたはルート)、そして、低特権プロセス(UIDはゼロではありません)。高特権プロセスは完全に低特権プロセスは、すべての権限チェックを受け入れる必要がありますが、このようなUID、GIDとして検討され、権限チェックのすべての種類を回避し、グループリストは有効です。2.2カーネルを開始してから、関連するLinuxと高度な権限の元スーパーユーザは、特定の機能を有効または無効に分離できるように、機能と呼ばれる別の単位に分割します。
一般的に、不合理禁止能力を言えばそうなのコンテナドッカーため、両方の安全性に、クラッシュするアプリケーションを引き起こすだけでなく、その可用性を確保するために。開発者は、機能性、可用性、およびセキュリティから多分野のトレードオフ機能の設定が必要です。
3)ネームスペース機構
いくつかはまた、名前空間ドッカーは、PID名前空間として、それが現在のコンテナに隠れプロセス内のすべての開発者が実行されません、ある程度のセキュリティを提供しています。参照するには、悪意のあるプログラムは、これらのプロセスを見ることができない場合、それはいくつかの問題になります。開発者は、プロセスは、1つの名前空間のpid終了する場合以外に、容器内部の全てのプロセスが自動的にすべて、管理者が容易に容器をオフにすることができるどの手段を終了します。ネットワークルールをルーティングすることにより、ネットワーク環境のコンテナを構築するために、管理者のための名前空間とのiptableもあり、容器内部のこのプロセスは、特定のネットワーク管理者権限を使用することができます。唯一のパブリックネットワークの間でコンテンツをフィルタリングするための容器、およびのみアクセスローカル二つの容器。
4)のcgroup機構は、
主にサービスの拒否に対して向けられます。悪質なプロセスは、システムリソース占有システムのすべてによって行われます。CPUなどの起きてからこれを回避するためのcgroupメカニズムは、ログインするとドッカーコンテナ内の悪質なプロセスを停止するためのcgroupのCPU時間を弱体化しようとしています。私たちは、あまりにも多くのファイルまたはあまりにも多くのサブプロセスなどのプロセスを開くために、これらのリソースを制御するために、より多くのcgroupを設計する必要があります。
5)のSELinux
SELinuxは、システムオブジェクトがラベルを持って、ラベルシステム、プロセスラベル各ファイル、ディレクトリです。ラベルとラベルオブジェクト間のプロセスを書き込むことによって、アクセスルールを保護するために、SELinuxのセキュリティ。これは、オブジェクトの所有者がオブジェクトにアクセスするために他の人々を制御することはできませんことを、MAC(強制アクセス制御)と呼ばれるシステムを実装しています。
6)その他の支援メカニズムに依存するドッカーの安全な
ルートアクセスドッカーエンジンを使う、という場合は、システムのセキュリティは、よく知られているカーネルのセキュリティの脆弱性の一連の影響を受ける可能性があります。:それは、特にすることが推奨され
ドッカーエンジンシステムを実行しながら、AppArmorのか、SELinuxを実行しています。・。
・異なるグループにマシン、信頼グループに描かれた各コンテナ。
•root権限で任意の信頼できないアプリケーションを実行しないでください。
・セーフガードメカニズム。
ホイールを検出するために維持するために、疑わしい動作を検出し、任意の不審な行動への応答を持つことができるようにします。そのようでないルート権限を、それ以降のようなプロセスは、root権限となり、我々は不正な処理を言及する権利であることを疑うことができますメカニズムを検出することによって、それを見つけました。言い換えれば、我々はあなたが脱出することができ、我々はまた、最短時間であなたの逃避行動を見つけることができる、とあなたを停止します。
rootアカウントにドッカー内のホストのエスケープ(脆弱性を公表)にクリアテキストのユーザ名とパスワードを使ってログインプロセス、映像配信の認定、ドッカー、テナントの可用性:また、いくつかの緊急の強化におけるセキュリティドッカーが残っています、ドッカーのクォータ(ディスク、ネットワーク)は、ウェイトを持ち上げた後、制限ドッカー(SELinuxの/ AppArmorの/ Grsecurityにより開発)、アクセスドッカートラフィック監視及び監査の場合には、ポイントがAUFS。
ドッカーがプライベートクラウド環境で使用されている場合はもちろん、ドッカーのセキュリティ問題の大部分は、パブリッククラウド環境に表示されるように使用されている、そして利点は、それが中にもたらすよりもはるかに多くの問題をもたらします。