Drucksache: PHP Magazin 6.15 - Docker-Sicherheit - eine Bestandsaufnahme
Im PHP Magazin 6.2015 ist ein Artikel zur Sicherheit von Docker erschienen.
Docker isoliert Anwendungen in Container. Aber ist diese Isolation auch sicher? Manche meinen, nein - und bringen eine Alternative an den Start. Sollte man also um Docker einen Bogen machen, wenn einem die Sicherheit der eigenen Systeme am Herzen liegt? Oder ist das alles übertrieben?
Bevor man die Frage "Wie sicher ist Docker?" beantworten kann, muss man die Frage "Was ist Docker?" beantworten, oder genauer: Was erwartet man selbst von Docker?.
Eigentlich ist Docker eine flexible Buildumgebung, in der sie die Anwendung auch testen und sogar ausrollen können. Und wenn Sie Docker auch so verwenden, werden Sie damit keine Sicherheitsprobleme haben.
Ob die Anwendung am Ende im Container oder direkt auf dem Produktivsystem installiert wird, ist unerheblich. Wenn man mal davon absieht, dass der Container einen darin eingedrungenen Angreifer zumindest eine weitere Hürde in den Weg stellt, bevor er den Host selbst kompromittieren kann. Wenn er das denn überhaupt will.
Machen Docker-Anwender scheinen aber zu denken, Docker biete Schutz vor den Folgen ausgeführten Schadcodes. Und das ist eben gerade nicht der Fall. Wenn Sie Docker trotzdem als Schutzmaßnahme verwenden, haben Sie früher oder später ein Problem. Docker isoliert die Anwendungen war im Container, aber wenn die Anwendung es darauf anlegt, gelingt ihr auch der Ausbruch aus dem Container.
Natürlich ist es einfach, eine Anwendung als Docker-Image auf das Produktivsystem zu laden, dort testweise auszuführen und rückstandslos wieder zu löschen, wenn sie die eigenen Anforderungen nicht erfüllt. Wenn das Image dann aber bösartigen Code enthält, sind sie danach zwar die heruntergeladene Anwendung los, aber nicht den davon auf dem Server eingeschleusten Schadcode.
Und natürlich sind Container "leichtgewichtiger" als eine vollständige Virtualisierung, wenn Sie die Anwendungen mehrerer Kunden auf einem Server betreiben wollen. Das kann auch gut gehen, wenn Docker ausreichend abgesichert ist, muss es aber nicht. Vor allem nicht, wenn wirklich eine Anwendung kompromittiert wird und der Angreifer es auch auf die anderen Anwendungen abgesehen hat. Von absichtlich bösartigen Anwendungen ganz zu schweigen. Und sie kennen doch das Gesetz vom netten Herren Murphy, nicht war? Das sorgt schon dafür, dass das schief geht.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Julien Barbier; Docker Blog: "It’s Here: Docker 1.0"
- [2] Sebastian Krahmer; Mailinglist oss-security: "docker VMM breakout"
- [3] shocker: docker PoC VMM-container breakout (C) 2014 Sebastian Krahmer
- [4] James Turnbull; Docker Blog: "Docker Container Breakout Proof-of-Concept Exploit"
- [5] Red Hat Bugzilla: "Bug 1111687 - (CVE-2014-3499) CVE-2014-3499 docker: systemd socket activation results in privilege escalation"
- [6] CVE-2014-3499
- [7] docker/docker Issue #6836: "CVE-2014-3499: docker.socket world accessible"
- [8] James Turnbull; Mailinglist docker-dev: "Vulnerability disclosure - Docker Hub Standalone"
- [9] Eric Windisch; Docker Blog: "Disclosure of Authorization-Bypass on the Docker Hub"
- [10] Scott Johnston; Docker Blog: "Docker 1.3: signed images, process injection, security options, Mac shared directories"
- [11] Scott Johnston; Docker Blog: "Docker Hub Official Repos: Announcing Language Stacks"
- [12] Eric Windisch; Mailinglist docker-user: "Docker Security Advisory [wd30 Oct 2014]"
- [13] CVE-2014-5277
- [14] Carsten Eilers: "Poodle - SSLv3 gefährdet Ihre Daten!"
- [15] Eric Windisch; Mailinglist docker-user: "Docker 1.3.2 - Security Advisory [wd24 Nov 2014]"
- [16] CVE-2014-6407
- [17] CVE-2014-6408
- [18] Alex Polvi; CoreOS Blog: "CoreOS is building a container runtime, Rocket"
- [19] Christoph Ebert; Jaxenter: "CoreOS im Interview: Gibt es eine gemeinsame Welt für Docker und Rocket?"
- [20] Eric Windisch; Mailinglist docker-user: "Docker 1.3.3 - Security Advisory [wd11 Dec 2014]"
- [21] CVE-2014-9356
- [22] CVE-2014-9357
- [23] CVE-2014-9358
- [24] Marianna Tessel; Docker Blog: "Advancing Docker Security: Docker 1.4.0 and 1.3.3 Releases"
- [25] Jonathan Rudenberg: "Docker Image Insecurity"
- [26] docker/docker Issue #9719: "Tarsum insecurity"
- [27] Eric Windisch, Hacker News: Antwort auf "Docker Image Insecurity (titanous.com)"
- [28] Solomon Hykes, Hacker News: Antwort auf "Docker Image Insecurity (titanous.com)"
- [29] Joerg Fritsch; Gartner Blog Network: "Can you make your containers contain?"
- [30] Toby Wolpe; ZDNet: "Docker security gets thumbs-up despite containers' rapid rise"
- [31] Simon Sharwood; The Register: "Docker's just a bit dodgy, but ready for rollout says Gartner"
- [32] Eric Windisch; Mailinglist oss-security: "Docker 1.6.1 - Security Advisory [150507]"
- [33] CVE-2015-3627
- [34] CVE-2015-3629
- [35] CVE-2015-3630
- [36] CVE-2015-3631
- [37] Carsten Eilers: "Drive-by-Infektionen über kompromittierte Webanwendungen"
- [38] Carsten Eilers: "Drive-by-Infektionen per E-Mail und mehr"
- [39] Carsten Eilers: "Was ist ein Advanced Persistent Threat (APT)?"
- [40] Daniel J Walsh; Opensource.com: "Are Docker containers really secure?"
- [41] Solomon Hykes, Hacker News: Antwort auf "Docker container breakout? (openwall.net)"
- [42] Diogo Mónica; Docker Blog: "Secured at Docker - Diogo Mónica and Nathan McCauley"
- [43] Diogo Mónica; Docker Blog: "Understanding Docker Security and Best Practices"
- [44] Center for Internet Security CIS: "CIS Docker 1.6 Benchmark v1.0.0"
- [45] Docker: "Introduction to Container Security" (PDF)
- [46] Docker Security
- [47] Docker Bench for Security
- [48] Diogo Mónica; Docker Blog: "Docker Security Tools and Upcoming Webinar"
- [49] Docker Trusted Registry
- [50] Scott Johnston; Docker Blog: "Docker: Ready for Production"
- [51] Notary
- [52] Scott M. Fulton III; CMS WiRE: "Docker Engineer: Our Containers Are Secure"
- [53] Summon
- [54] Kevin Gilpin; Conjur: "Securing Docker With Secrets and Dynamic Traffic"
- [55] Jim Doran; BlueMix Dev: "Is your Docker container secure? Ask Vulnerability Advisor!"
- [56] Jayanth Gummaraju, Tarun Desikan, Yoshio Turner; BanyanOps: "Over 30% of Official Images in Docker Hub Contain High Priority Security Vulnerabilities"
- [57] Jérôme Petazzoni; ~jpetazzo/: "Someone said that 30% of the images on the Docker Registry contain vulnerabilities"
Trackbacks