Aperçu de la sécurité de Docker

Magazine
Marque
MISC
Numéro
95
Mois de parution
janvier 2018
Domaines


Résumé

Lorsque l’on approche la question de la sécurité des technologies de conteneurs, il apparaît directement qu’une grande part de cette sécurité repose de fait sur des fonctionnalités du noyau et donc de ses bons usages, et qu’une autre part tient à la structure propre de la technologie choisie. Au travers de cette introduction seront posées quelques questions fondamentales autour de la sécurité d’une solution bien connue : Docker.


Introduction

Docker est désormais connu pour être une des solutions les plus efficaces et adaptées pour déployer des conteneurs avec une orientation forte sur l’aspect « packaging » d’application (c’est-à-dire le fait de livrer l’application et ses dépendances au sein d’une même entité, en l’occurrence un conteneur). Dans le domaine des statistiques de la démesure, l’intervention du CEO de Docker, Ben Golub, en a offert une belle démonstration lors de la DockerCon 2016, on y parle de pourcentages à 6 chiffres, rien de moins.

Du côté de la sécurité, Docker n’a à la base rien inventé et repose comme la grande majorité des technologies de conteneurs Linux sur des mécanismes d’isolation introduits dans le noyau il y a bientôt dix ans. Un article du présent dossier sera entièrement consacré à l’introduction du socle de base des conteneurs Linux que sont les namespaces et les cgroups. Cependant, Docker offre également de nombreuses...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[0] Profil seccomp par défaut utilisé par Docker  : https://github.com/moby/moby/blob/master/profiles/seccomp/default.json

[1] Série de petits tutoriels dédiés à la sécurisation de Docker : https://github.com/docker/labs/tree/master/security

[2] Entitlements for Moby and Kubernetes – High-level Permissions and Security Profiles for Containers  : https://www.youtube.com/watch?v=143eGAmX33U

[3] Isolate containers with a user namespace : https://docs.docker.com/engine/security/userns-remap/

[4] Protect the Docker daemon socket : https://docs.docker.com/engine/security/https

[5] Docker Bench for Security : https://github.com/docker/docker-bench-security

[6] container-diff: Diff your Docker containers : https://github.com/GoogleCloudPlatform/container-diff



Articles qui pourraient vous intéresser...

Applications des TPM

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Les TPM, inventés il y a une vingtaine d’années, ont pénétré progressivement les plateformes numériques. Malgré ce long historique, les TPM ont encore aujourd’hui du mal à s’imposer. Pourtant, leurs applications potentielles sécuritaires sont très intéressantes : Authenticated Boot, Remote Attestation, Scellement, amélioration de la sécurité de la cryptographie logicielle. Cet article détaille ces principales applications et liste quelques produits connus qui utilisent les TPM.

Dora au pays du kernel debugging

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Après plusieurs années dans le monde de la sécurité informatique il est récurrent d'être confronté aux remarques telles que : « Wow tu bosses sur le kernel Windows, c'est trop cool, mais vachement compliqué quand même ! ». Que nenni, en réalité la documentation est conséquente et le point le plus difficile et rédhibitoire est bien souvent la mise en place d'un Labo permettant d'analyser celui-ci. En bref, cet article vous permettra de vous faire passer pour un super haxxor de ses morts qui dt des KPCR à tour de bras et vous permettra peut-être au passage de demander une augmentation.

En sécurité sous les drapeaux

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

En sécurité sous les drapeaux... du compilateur, ces fameux -fstack-protector-strong et autres -D_FORTIFY_SOURCE=2 que l’on retrouve dans de plus en plus de logs de compilation. Cet article se propose de parcourir quelques-uns des drapeaux les plus célèbres, en observant les artefacts dans le code généré qui peuvent indiquer leur utilisation, tout en discutant de leur support par gcc et clang. Après tout, nombre d’entre eux sont utilisés par défaut sous Debian ou Fedora, ils méritent bien qu’on s’y intéresse un peu.

Introduction aux TPM (Trusted Platform Modules)

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Les TPM (Trusted Platform Modules), brique de base du Trusted Computing, ont été imaginés il y a une vingtaine d’années, et pourtant ils ne sont pas très utilisés malgré leurs réelles qualités. Comment expliquer cela ? Cet article tend à fournir de premiers éléments de réponse.