Drucksache: windows.developer Magazin 3.2015 - Docker-Sicherheit im Überblick
Im windows.developer 3.15 ist ein Artikel über die Sicherheit von Docker erschienen.
Docker isoliert Anwendungen in Container. Aber ist das auch sicher? Manche meinen, nein - und bringen eine Alternative an den Start. Sollte man also um Docker einen Bogen machen, wenn einem die Sicherheit der eigenen Systeme am Herzen liegt? Oder ist das alles übertrieben?
Bevor man die Frage "Wie sicher ist Docker?" beantworten kann, muss man die Frage "Was ist Docker?" beantworten, oder genauer: Was erwarten man von Docker?.
Wenn Sie Docker wie ursprünglich vorgesehen als flexible Buildumgebung verwenden, in der sie die Anwendung auch testen und sogar ausrollen können, werden Sie damit keine Sicherheitsprobleme haben. Ob die Anwendung am Ende im Container oder direkt auf dem Produktivsystem installiert wird, ist dann unerheblich.
Wenn Sie Docker aber als Schutzmaßnahme verwenden, haben Sie früher oder später ein Problem. Egal ob sie es nutzen, um möglicherweise nicht vertrauenswürdige Images auf einem Server auszuführen, der weitere, womöglich kritische Anwendungen mit sensitiven Daten enthält, oder um unterschiedlich vertrauenswürdige Anwendungen auf dem gleichen Server zu betreiben, in beiden Fällen spielen Sie mit dem Feuer.
Natürlich ist es einfach, eine Anwendung als Docker-Image auf das Produktivsystem zu laden, dort testweise auszuführen und rückstandslos wieder zu löschen, wenn es die eigenen Anforderungen nicht erfüllt. Wenn das Image dann aber bösartigen Code enthält, sind sie danach zwar die heruntergeladene Anwendung los, nicht aber den davon auf dem Server eingeschleusten Schadcode.
Und natürlich sind Container "leichtgewichtiger" als eine vollständige Virtualisierung, wenn Sie die Anwendungen mehrere Kunden auf einem Server betreiben wollen. Das kann auch gut gehen, wenn Docker ausreichend abgesichert ist, muss es aber nicht. Vor allem nicht, wenn wirklich eine Anwendung kompromittiert wird. Von absichtlich bösartigen Anwendungen ganz zu schweigen. Und sie kennen doch das Gesetz vom netten Herren Murphy, nicht war? Das sorgt schon dafür, dass das schief geht.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Julien Barbier; Docker Blog: "It’s Here: Docker 1.0"
- [2] Sebastian Krahmer; Mailinglist oss-security: "docker VMM breakout"
- [3] shocker: docker PoC VMM-container breakout (C) 2014 Sebastian Krahmer
- [4] James Turnbull; Docker Blog: "Docker Container Breakout Proof-of-Concept Exploit"
- [5] Red Hat Bugzilla: "Bug 1111687 - (CVE-2014-3499) CVE-2014-3499 docker: systemd socket activation results in privilege escalation"
- [6] CVE-2014-3499
- [7] docker/docker Issue #6836: "CVE-2014-3499: docker.socket world accessible"
- [8] James Turnbull; Mailinglist docker-dev: "Vulnerability disclosure - Docker Hub Standalone"
- [9] Eric Windisch; Docker Blog: "Disclosure of Authorization-Bypass on the Docker Hub"
- [10] Scott Johnston; Docker Blog: "Docker 1.3: signed images, process injection, security options, Mac shared directories"
- [11] Scott Johnston; Docker Blog: "Docker Hub Official Repos: Announcing Language Stacks"
- [12] Eric Windisch; Mailinglist docker-user: "Docker Security Advisory [30 Oct 2014]"
- [13] CVE-2014-5277
- [14] Carsten Eilers: "Poodle - SSLv3 gefährdet Ihre Daten!"
- [15] Eric Windisch; Mailinglist docker-user: "Docker 1.3.2 - Security Advisory [24 Nov 2014]"
- [16] CVE-2014-6407
- [17] CVE-2014-6408
- [18] Alex Polvi; CoreOS Blog: "CoreOS is building a container runtime, Rocket"
- [19] Christoph Ebert; Jaxenter: "CoreOS im Interview: Gibt es eine gemeinsame Welt für Docker und Rocket?"
- [20] Eric Windisch; Mailinglist docker-user: "Docker 1.3.3 - Security Advisory [11 Dec 2014]"
- [21] CVE-2014-9356
- [22] CVE-2014-9357
- [23] CVE-2014-9358
- [24] Marianna Tessel; Docker Blog: "Advancing Docker Security: Docker 1.4.0 and 1.3.3 Releases"
- [25] Jonathan Rudenberg: "Docker Image Insecurity"
- [26] docker/docker Issue #9719: "Tarsum insecurity"
- [27] Eric Windisch, Hacker News: Antwort auf "Docker Image Insecurity (titanous.com)"
- [28] Solomon Hykes, Hacker News: Antwort auf "Docker Image Insecurity (titanous.com)"
- [29] Carsten Eilers: "Die 0-Day-Exploits 2014 im Überblick"
- [30] Carsten Eilers; PHP Magazin: "e107.org kompromittiert, Archiv mit Backdoor"
- [31] Daniel J Walsh; Opensource.com: "Are Docker containers really secure?"
- [32] Solomon Hykes, Hacker News: Antwort auf "Docker container breakout? (openwall.net)"
- [33] Daniel J Walsh; Opensource.com: "Bringing new security features to Docker"
- [34] Lenny Zeltser; Lenny Zeltser on Information Security: "Security Risks and Benefits of Docker Application..."
- [35] Trevor Jay; Red Hat Security Blog: "Container Security: Isolation Heaven or Dependency Hell"
- [36] Jérôme Petazzoni; Docker Blog: "Containers & Docker: How Secure Are They?"
- [37] Trevor Jay; Red Hat Security Blog: "Before you initiate a "docker pull""
Trackbacks