Kuinka estää allekirjoittamattomien Docker-kuvien vetäminen

Allekirjoittamattomien Docker-kuvien vetämisen estäminen Varmista, että vedät vain allekirjoitettuja Docker-kuvia, joissa Content Trust on käytössä.

Olet todennäköisesti kuullut tarinoita haitallisten Docker-kuvien löytämisestä eri arkistoissa. Jotkut näistä kuvista vaihtelevat niistä, jotka sisältävät todellista haittaohjelmaa / vakoiluohjelmaa / ransomeware / etc, vähemmän haitallisiin kuviin, jotka sisältävät juuritilejä, joihin ei voida täysin luottaa. Kummassakaan tapauksessa sinun ei tule käyttää näitä kuvia.

Lisätietoja kyberturvallisuudesta

  • Kyberturvallisuus vuonna 2020: Kahdeksan pelottavaa ennustetta
  • Vuosikymmenen 10 tärkeintä kyberhyökkäystä
  • Kuinka tulla kyberturvallisuusprosessiksi: Huijarilehti
  • Kuuluisa mies Frank Abagnale: Rikos on tänään 4000 kertaa helpompaa

Ongelmana on, kuinka tiedän, sisältääkö kuva haitallista koodia? Mitä teet tekemättä itse kuvia rakentamatta tai yksittäisten kuvien skannaamisen vaikeita prosesseja?

Windows 10 -turvallisuus: Opas yritysjohtajille (TechRepublic Premium)

Yksinkertaisesti sanottuna, voit määrittää Dockerin siten, että Docker-vedon komento onnistuu vain, jos luoja on allekirjoittanut vetävän kuvan. Tämä ei tietenkään ole täydellinen ratkaisu, mutta se estää sinua (tai kehittäjiäsi) vetämästä allekirjoittamattomia kuvia arkistoista. Nämä kuva-allekirjoitukset mahdollistavat tiettyjen kuvien ja kuvatunnisteiden eheyden ja luomisen asiakaspuolen tai ajonaikaisen todentamisen.

Kuinka tämä toimii Docker 1.8: n saapuneen Docker Content Trust -ominaisuuden kanssa, ja se on itse asiassa melko helppo toteuttaa. Esitän tämän Ubuntu Server 18.04: llä, mutta prosessin pitäisi toimia hyvin kaikilla alustoilla, joissa on Docker 1.8 tai uudempi.

Kuinka tämä toimii

Kun olet ottanut sisällön luottamisen käyttöön, jos yrität vetää allekirjoittamatonta kuvaa alaspäin, saat virheilmoituksen, eikä kuva vetoa ( kuva A ).

Figure A: Pulling an unsigned image is a no-go.

" data-credit="" rel="noopener noreferrer nofollow">

Kuva A: Allekirjoittamattoman kuvan vetäminen on no-go.

Kun Content Trust on paikallaan, ainoat vedämäsi kuvat allekirjoitetaan ( kuva B ).

Figure B: The official NGINX image pulls down fine.

" data-credit="" rel="noopener noreferrer nofollow">

Kuva B: Virallinen NGINX-kuva vetoaa hienosti.

Mahdollistaa sisällön luottamus

Ensimmäinen tehtävä on sallia sisällön luottamus. Voit tehdä tämän väliaikaisesti avaamalla pääteikkunan ja antamalla komennon:

 vie DOCKER_CONTENT_TRUST = 1 

Kun olet tehnyt sen, Content Trust toimii, etkä voi vetää allekirjoittamattomia kuvia alas. Edellä mainitun menetelmän käyttäminen toimii kuitenkin vain nykyisessä kuoressa. Heti kun kirjaudut ulos ja kirjaudut sisään sisään, voit vetää allekirjoittamattomia kuvia ongelmitta alas. Tee tästä pysyvä avaamalla terminaali-ikkuna, antamalla komento sudo nano / etc / environment ja lisäämällä seuraavat tiedoston alaosaan:

 DOCKER_CONTENT_TRUST = 1 

Tallenna ja sulje tiedosto. Kirjaudu ulos ja kirjaudu sisään sisään niin paljon kuin haluat, ja Content Trust on edelleen käytössä. Docker-vetokomennot onnistuvat vain, jos vedät allekirjoitetut kuvat alas.

Varoitus

Tämä ei ole järkevä ratkaisu. Miksi? Koska Docker sisältää vaihtoehdon, jonka avulla voit kiertää Content Trust -ominaisuutta. Oletetaan esimerkiksi, että haluat vetää allekirjoittamattoman kuvan Docker Hubista (poistamatta aiemmin määritettyä ympäristömuuttujaa käytöstä). Voit tehdä tämän komennolla:

 docker pull - poistettavissa oleva sisältö-luottamus nginx / yksikkö 

Kuten näette ( kuva C ), jos yrität vetää kuvaa ilman --disable-content-trust -vaihtoehtoa, vedä epäonnistuu. Vaihtoehdolla se onnistuu.

Figure C: Circumventing Content Trust.

" data-credit="" rel="noopener noreferrer nofollow">

Kuva C: Luottamuksen kiertäminen.

Viisa lisäys

Vaikka joissakin tapauksissa haluat kiertää Content Trust -ominaisuutta, on aina hyvä ottaa se käyttöön, joten vedät vain allekirjoitettuja kuvia. Se ei ole täydellinen tietoturvaratkaisu Dockerille, mutta se on pieni askel eteenpäin konttien käyttöönotolle.

Kyberturvallisuuden sisäpiirilehti

Vahvista organisaatiosi tietoturvamekanismeja pitämällä ajan tasalla viimeisimmät tietoturvatiedotteet, ratkaisut ja parhaat käytännöt. Toimitetaan tiistaisin ja torstaisin

Rekisteröidy tänään

© Copyright 2020 | mobilegn.com