Aperçu de la sécurité de Docker

Spécialité(s)


Résumé

Lorsque l’on approche la question de la sécurité des technologies de conteneurs, il apparaît directement qu’une grande part de cette sécurité repose de fait sur des fonctionnalités du noyau et donc de ses bons usages, et qu’une autre part tient à la structure propre de la technologie choisie. Au travers de cette introduction seront posées quelques questions fondamentales autour de la sécurité d’une solution bien connue : Docker.


Introduction

Docker est désormais connu pour être une des solutions les plus efficaces et adaptées pour déployer des conteneurs avec une orientation forte sur l’aspect « packaging » d’application (c’est-à-dire le fait de livrer l’application et ses dépendances au sein d’une même entité, en l’occurrence un conteneur). Dans le domaine des statistiques de la démesure, l’intervention du CEO de Docker, Ben Golub, en a offert une belle démonstration lors de la DockerCon 2016, on y parle de pourcentages à 6 chiffres, rien de moins.

Du côté de la sécurité, Docker n’a à la base rien inventé et repose comme la grande majorité des technologies de conteneurs Linux sur des mécanismes d’isolation introduits dans le noyau il y a bientôt dix ans. Un article du présent dossier sera entièrement consacré à l’introduction du socle de base des conteneurs Linux que sont les namespaces et les cgroups. Cependant, Docker offre également de nombreuses...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne
Références

[0] Profil seccomp par défaut utilisé par Docker  : https://github.com/moby/moby/blob/master/profiles/seccomp/default.json

[1] Série de petits tutoriels dédiés à la sécurisation de Docker : https://github.com/docker/labs/tree/master/security

[2] Entitlements for Moby and Kubernetes – High-level Permissions and Security Profiles for Containers  : https://www.youtube.com/watch?v=143eGAmX33U

[3] Isolate containers with a user namespace : https://docs.docker.com/engine/security/userns-remap/

[4] Protect the Docker daemon socket : https://docs.docker.com/engine/security/https

[5] Docker Bench for Security : https://github.com/docker/docker-bench-security

[6] container-diff: Diff your Docker containers : https://github.com/GoogleCloudPlatform/container-diff



Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous