Docker-мания: доверяй, но проверяй!

Аватар пользователя Pavel Virtuozzo
Автор: Емельянов Павел, Virtuozzo
(0)
()
Опубликовано в:
Это мой первый пост в блоге на BIS-Expert, поэтому, наверное, стоит сказать пару слов о себе. Я работаю главным архитектором в компании Virtuozzo  и поэтому постоянно  сталкиваюсь с проблемами безопасности виртуальных сред и контейнеров. 

Сегодня хочется сказать о популярности Docker. Система контейнеров приложений вызывает большой и активный интерес со стороны пользователей, ведь контейнеры с Docker можно запустить в любой среде! Вы просто запускаете готовый контейнер с оптимизированным ПО в своей среде – на реальной или виртуальной машине, на сервере или в облаке – все это не важно! Приложение просто будет работать там, где вы его разместите. Учитывая всеобщий курс на виртуализацию, а также успехи разработчиков проекта, последний год инициатива набирает обороты, и на этом фоне становится видна очевидная проблема, на которую стоило бы обратить внимание.

 
 
 
Дело в том, что в экосистеме Docker есть огромная дыра, которая в определенной степени является «детской болезнью» проекта. Ведь образы, которые пользователи загружают себе с github, quay или откуда-то ещё никак не подписаны и никем не верифицированы. Более того, при загрузке не производится никакой проверки того факта, откуда мы на самом деле «качаем» образ. Никто не гарантирует аутентичности сайта, так что каждый потенциально может стать жертвой подмены ресурса или подмены самого пакета. В результате никто не может точно сказать, что в итоге запустится у пользователя.
 
Сами разработчики Docker признают эту проблему, работают над тем, чтобы закрыть эту брешь в ближайшее время. Более того, ассоциации вроде Open Container Initiative готовят стандарты, которые эти проблемы учитывают и будут помогать с их решением (ваш покорный слуга знает это не по наслышке, так как я состою в совете OCI). В частности OCI закладывает в стандарт распространения контейнеров описание того, как образ должен быть подписан и процедуру верификации его изготовителя и распространителя. Но пока процессы не завершены, защиты просто нет!
 
Один из примеров опасностей, которые могут подстерегать пользователя при загрузке непроверенного ПО, – это Трояны. Вы думаете, что загружаете, nginx, а вместе с ним идет также ПО для рассылки спама, кейлоггер или еще какой-нибудь сюрприз. Уже многие эксперты обратили внимание на эту проблему, но громких инцидентов пока не было. Возможно, это связано с тем, что злоумышленники пока не считают нишу Docker финансово привлекательной, а может быть реально происходящие эксплойты просто пока не обнаружены и не раскрыты. Так что если вы задумываетесь о применении контейнеров, тщательно проверяйте и источник и сам образ, чтобы не оказаться заложником «взросления» технологии.
 
Оцените материал:
Total votes: 156
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.