Pink Badger - Fotolia
Asegurar los contenedores Docker debe ser prioridad en su lista de cosas por hacer
Los contenedores Docker presentan retos únicos de seguridad. Herramientas como Docker Content Trust pueden ayudar con la seguridad de los contenedores.
La tecnología de contenedores, especialmente Docker, sigue haciendo su camino hacia la empresa. Del mismo modo que lo estarían con cualquier otra tecnología, los profesionales de TI tienen la tarea de construir una estrategia para asegurar los contenedores Docker.
Hay algunas preocupaciones de seguridad de Docker a tener en cuenta. En primer lugar, ejecutar contenedores y aplicaciones con Docker significa ejecutar el daemon Docker, que requiere privilegios de raíz (root). Pero, esto significa que usted le está dando a esos procesos las llaves del reino, y este es solo un ejemplo de cómo los contenedores pueden alarmar a un profesional de la seguridad de TI.
Otras preocupaciones incluyen la flexibilidad de los contenedores, que hace que sea sencillo ejecutar varias instancias de contenedores. Muchos de estos contenedores pueden estar en diferentes niveles de parches de seguridad. Por otra parte, si bien a menudo son comparados con la virtualización, Docker no es tan bueno en la segregación; los contenedores están, en gran parte, aislados. Los profesionales de TI nuevos con los contenedores no siempre tienen una buena comprensión del desarrollo y la producción de contenedores. Como resultado, aquellos que gestionan y aseguran las aplicaciones en contenedores necesitan aprender esas habilidades rápidamente.
Los modelos de seguridad de contenedores son similares a los de otros sistemas distribuidos, pero las mejores prácticas y herramientas son nuevas. Por ejemplo, la encriptación, la gestión de identidades y la seguridad basada en roles funcionan bien con los contenedores, pero hay nuevas herramientas y sistemas que juegan un papel importante en asegurar Docker.
Herramientas y mejores prácticas para asegurar contenedores Docker
Docker Content Trust (DCT), una nueva característica de Docker, puede ayudar a los profesionales de TI a garantizar la seguridad de Docker. DCT utiliza un enfoque de infraestructura de clave pública (PKI), y tiene dos claves distintas: una clave offline (root) y una clave de etiquetado (por repositorio) que se crean y se almacenan en el lado del cliente la primera vez que un editor empuja una imagen.
Este se encarga de la mayor vulnerabilidad, que es utilizar contenedores maliciosos. DCT también genera una clave de marca de tiempo que protege contra ataques de repetición, lo que significa ejecutar contenido firmado, pero expirados. Esto resuelve el problema mencionado anteriormente acerca de los contenedores que tienen diferentes niveles de parches de seguridad.
Para hacer frente a las preocupaciones en torno a la seguridad de contenedores, muchas empresas, incluyendo Docker, han dado a conocer puntos de seguridad de referencia para Docker. Este conjunto de estándares ofrece directrices para asegurar los contenedores Docker. El documento de 118 páginas incluye 84 mejores prácticas para la implementación de contenedores Docker, junto con una lista de verificación que resume todas ellas.
Así que, ¿qué pasa si se le pone a cargo de asegurar contenedores Docker y no sabe por dónde empezar? Aquí hay algunas sugerencias:
- Lea la documentación de referencia de seguridad Docker mencionada anteriormente. Concéntrese en cómo las sugerencias y las mejores prácticas se relacionan con la forma en que ha desplegado sus aplicaciones basadas en contenedores. Esta es realmente su mejor opción, teniendo en cuenta que la mayoría de los problemas de seguridad de Docker provienen de un mal diseño.
- Tenga en cuenta sus necesidades de seguridad específicas. Esto impulsará su selección de herramientas y enfoques. Muchas empresas que se mueven hacia contenedores aseguran de forma insuficiente o excesiva sus aplicaciones basadas en contenedores.
- Pruebe lo más que pueda. Los contenedores son nuevos, así que tenemos que averiguar lo que funciona y lo que no, y la única manera de hacerlo es a través de pruebas relacionadas con la seguridad, tales como pruebas de penetración.
La seguridad de los contenedores probablemente evolucionará como lo hizo la seguridad de la virtualización. Mientras que la seguridad era una preocupación con las primeras implementaciones de VM, años de buenas prácticas de seguridad, arquitecturas y herramientas han demostrado ser eficaces. Lo mismo debería funcionar para asegurar los contenedores Docker.