SlideShare ist ein Scribd-Unternehmen logo

Securite docker generique 2017-03-16

Als PPTX, PDF herunterladen
SecludIT
SecludIT

présentation de la sécurité de Docker par Frédéric Donnat lors du Workshop "Docker Birthday Celebration #4" des TECHS EVENTS de Telecom Valley

Technologie
1 von 8
Sécurité Docker Frédéric DONNAT – Directeur Technique et Co-Fondateur fred@secludit.com Téléphone 06 59 98 30 77
Agenda 1. Socle Docker  Infrastructure, Serveur Hôte (OS)  Docker Secure Deployment Guideline  CIS Benchmark : Docker bench Security 2. Image Docker  Registry : Docker Hub  Sécurité propres image docker  Scan : Docker Scanning Services, TwistLock trust, Clair 3. Ecosystème Docker : Non abordé ici  Kubernetes, Mesos, Swarm, etc…
Socle Docker 1. Contraintes  Infrastructure, Server host (OS)  Docker est un « root » daemon  Docker « daemon » socket 2. Sécurité  Bonnes pratiques : Docker Secure Deployment Guidelines  Sécurité du noyau : AppArmor, GRSEC, …  Isolation réseau  Authentification et Autorisation  Canal sécurisé  Traçabilité : Logs, Audit  CIS Benchmark : Docker bench Security
Docker CIS Benchmark • 6 Chapitres  Configuration du serveur hôte  Configuration du « daemon » docker  Fichiers de configuration du daemon » docker  Image de « container » et fichier de « build »  Exécution de « container »  Opérations de sécurité pour Docker • 104 Règles  1.1 Partition dédiée pour les « containers »  2.1 Restriction du traffique entre « containers »  6.1 Faire des audits régulières du système hôte et des « containers »
Exemple : Docker CIS Benchmark Description Test Solution
Image Docker 1. Contraintes  Docker Hub / Docker Image  Partage d’Image  Attaque sur le server Hôte via le container :  DoS  Elévation de privilèges  Partage de ressources et données 2. Sécurité  Principe de « moindre privilège »  Accès, Autorisation, Ressources  Nettoyage : Logs, Clés, Historique, …  Audit des images : Docker Scan
Sécurité Docker : Liens utiles • Guides : • https://docs.docker.com/engine/security/security/ • https://docs.docker.com/docker-cloud/builds/image-scan/ • https://github.com/GDSSecurity/Docker-Secure-Deployment-Guidelines • https://benchmarks.cisecurity.org/tools2/docker/CIS_Docker_1.13.0_Benchmark_v1.0.0.pdf • Outils : • https://github.com/dev-sec/cis-docker-benchmark • https://github.com/coreos/clair/ • https://github.com/cr0hn/dockerscan • https://cloud.docker.com/
Questions ?

Empfohlen

Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _
Jean-Marc Meessen
 
Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]
UltraUploader
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
Microsoft Décideurs IT
 
Apache ssl
Apache sslApache ssl
Apache ssl
GSI
 
Wilfried woivré windows azure mobile services
Wilfried woivré windows azure mobile servicesWilfried woivré windows azure mobile services
Wilfried woivré windows azure mobile services
Aymeric Weinbach
 
Ze cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreZe cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembre
Aymeric Weinbach
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
Ousmane BADJI
 
Archi tech 2010-09-13
Archi tech 2010-09-13Archi tech 2010-09-13
Archi tech 2010-09-13
benjguin
 

Empfohlen

Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _
Jean-Marc Meessen
 
Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]
UltraUploader
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
Microsoft Décideurs IT
 
Apache ssl
Apache sslApache ssl
Apache ssl
GSI
 
Wilfried woivré windows azure mobile services
Wilfried woivré windows azure mobile servicesWilfried woivré windows azure mobile services
Wilfried woivré windows azure mobile services
Aymeric Weinbach
 
Ze cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreZe cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembre
Aymeric Weinbach
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
Ousmane BADJI
 
Archi tech 2010-09-13
Archi tech 2010-09-13Archi tech 2010-09-13
Archi tech 2010-09-13
benjguin
 
Microservices docker-security
Microservices docker-securityMicroservices docker-security
Microservices docker-security
Sergio Loureiro
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
SecludIT
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud it
SecludIT
 
The real cost of ignoring network security.
The real cost of ignoring network security.The real cost of ignoring network security.
The real cost of ignoring network security.
SecludIT
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
SecludIT
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
SecludIT
 
Floggers
FloggersFloggers
Floggers
Julieta Monti
 
Revue de presse Telecom Valley, Eté 2016
Revue de presse Telecom Valley, Eté 2016Revue de presse Telecom Valley, Eté 2016
Revue de presse Telecom Valley, Eté 2016
Laurence Briffa
 
Docker volume
Docker volumeDocker volume
Docker volume
MyoungSu Shin
 
Docker and Go: why did we decide to write Docker in Go?
Docker and Go: why did we decide to write Docker in Go?Docker and Go: why did we decide to write Docker in Go?
Docker and Go: why did we decide to write Docker in Go?
Jérôme Petazzoni
 
Shipping Applications to Production in Containers with Docker
Shipping Applications to Production in Containers with DockerShipping Applications to Production in Containers with Docker
Shipping Applications to Production in Containers with Docker
Jérôme Petazzoni
 
Architecture microservices avec docker
Architecture microservices avec dockerArchitecture microservices avec docker
Architecture microservices avec docker
gcatt
 
A Gentle Introduction To Docker And All Things Containers
A Gentle Introduction To Docker And All Things ContainersA Gentle Introduction To Docker And All Things Containers
A Gentle Introduction To Docker And All Things Containers
Jérôme Petazzoni
 
Basic docker for developer
Basic docker for developerBasic docker for developer
Basic docker for developer
Weerayut Hongsa
 
Docker introduction
Docker introductionDocker introduction
Docker introduction
dotCloud
 
Docker Tips And Tricks at the Docker Beijing Meetup
Docker Tips And Tricks at the Docker Beijing MeetupDocker Tips And Tricks at the Docker Beijing Meetup
Docker Tips And Tricks at the Docker Beijing Meetup
Jérôme Petazzoni
 
Infrastructure Deployment with Docker & Ansible
Infrastructure Deployment with Docker & AnsibleInfrastructure Deployment with Docker & Ansible
Infrastructure Deployment with Docker & Ansible
Robert Reiz
 
Docker from A to Z, including Swarm and OCCS
Docker from A to Z, including Swarm and OCCSDocker from A to Z, including Swarm and OCCS
Docker from A to Z, including Swarm and OCCS
Frank Munz
 
Docker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and securityDocker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and security
Jérôme Petazzoni
 
Comment construire une stratégie digitale?
Comment construire une stratégie digitale?Comment construire une stratégie digitale?
Comment construire une stratégie digitale?
Butter-Cake blog by Youmna Ovazza
 
Docker - YaJUG
Docker - YaJUGDocker - YaJUG
Docker - YaJUG
Nicolas Muller
 
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et DerueGab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
AZUG FR
 

Weitere ähnliche Inhalte

Andere mochten auch

Docker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and securityDocker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and security
Jérôme Petazzoni
 

Andere mochten auch (20)

Microservices docker-security
Microservices docker-securityMicroservices docker-security
Microservices docker-security
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud it
 
The real cost of ignoring network security.
The real cost of ignoring network security.The real cost of ignoring network security.
The real cost of ignoring network security.
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Floggers
FloggersFloggers
Floggers
 
Revue de presse Telecom Valley, Eté 2016
Revue de presse Telecom Valley, Eté 2016Revue de presse Telecom Valley, Eté 2016
Revue de presse Telecom Valley, Eté 2016
 
Docker volume
Docker volumeDocker volume
Docker volume
 
Docker and Go: why did we decide to write Docker in Go?
Docker and Go: why did we decide to write Docker in Go?Docker and Go: why did we decide to write Docker in Go?
Docker and Go: why did we decide to write Docker in Go?
 
Shipping Applications to Production in Containers with Docker
Shipping Applications to Production in Containers with DockerShipping Applications to Production in Containers with Docker
Shipping Applications to Production in Containers with Docker
 
Architecture microservices avec docker
Architecture microservices avec dockerArchitecture microservices avec docker
Architecture microservices avec docker
 
A Gentle Introduction To Docker And All Things Containers
A Gentle Introduction To Docker And All Things ContainersA Gentle Introduction To Docker And All Things Containers
A Gentle Introduction To Docker And All Things Containers
 
Basic docker for developer
Basic docker for developerBasic docker for developer
Basic docker for developer
 
Docker introduction
Docker introductionDocker introduction
Docker introduction
 
Docker Tips And Tricks at the Docker Beijing Meetup
Docker Tips And Tricks at the Docker Beijing MeetupDocker Tips And Tricks at the Docker Beijing Meetup
Docker Tips And Tricks at the Docker Beijing Meetup
 
Infrastructure Deployment with Docker & Ansible
Infrastructure Deployment with Docker & AnsibleInfrastructure Deployment with Docker & Ansible
Infrastructure Deployment with Docker & Ansible
 
Docker from A to Z, including Swarm and OCCS
Docker from A to Z, including Swarm and OCCSDocker from A to Z, including Swarm and OCCS
Docker from A to Z, including Swarm and OCCS
 
Docker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and securityDocker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and security
 
Comment construire une stratégie digitale?
Comment construire une stratégie digitale?Comment construire une stratégie digitale?
Comment construire une stratégie digitale?
 

Ähnlich wie Securite docker generique 2017-03-16

chap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddhchap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddh
Hamza546870
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm
 

Ähnlich wie Securite docker generique 2017-03-16 (20)

Docker - YaJUG
Docker - YaJUGDocker - YaJUG
Docker - YaJUG
 
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et DerueGab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
 
Docker Tours Meetup #1 - Introduction à Docker
Docker Tours Meetup #1 - Introduction à DockerDocker Tours Meetup #1 - Introduction à Docker
Docker Tours Meetup #1 - Introduction à Docker
 
What is Docker
What is Docker What is Docker
What is Docker
 
Gab2015 Jean-Marie Crommen Docker sur Azure
Gab2015 Jean-Marie Crommen Docker sur AzureGab2015 Jean-Marie Crommen Docker sur Azure
Gab2015 Jean-Marie Crommen Docker sur Azure
 
Alphorm.com Formation Sophos Certified Engineer : EndPoint Protection
Alphorm.com Formation Sophos Certified Engineer : EndPoint ProtectionAlphorm.com Formation Sophos Certified Engineer : EndPoint Protection
Alphorm.com Formation Sophos Certified Engineer : EndPoint Protection
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...
 
chap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddhchap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddh
 
Patterns du continuous delivery avec azure dev ops et kubernetes
Patterns du continuous delivery avec azure dev ops et kubernetesPatterns du continuous delivery avec azure dev ops et kubernetes
Patterns du continuous delivery avec azure dev ops et kubernetes
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
 
709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx
709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx
709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx
 
DevCon 3 : Containérisation d’applications
DevCon 3 : Containérisation d’applicationsDevCon 3 : Containérisation d’applications
DevCon 3 : Containérisation d’applications
 
Alphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et Administration
 
Configurer GitHub Actions avec Docker et DotNET 8.pdf
Configurer GitHub Actions avec Docker et DotNET 8.pdfConfigurer GitHub Actions avec Docker et DotNET 8.pdf
Configurer GitHub Actions avec Docker et DotNET 8.pdf
 
Midi technique - présentation docker
Midi technique - présentation dockerMidi technique - présentation docker
Midi technique - présentation docker
 
Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp Docker
 
docker.pptx
docker.pptxdocker.pptx
docker.pptx
 
Docker, mais qu’est-ce que c’est ?
Docker, mais qu’est-ce que c’est ?Docker, mais qu’est-ce que c’est ?
Docker, mais qu’est-ce que c’est ?
 

Securite docker generique 2017-03-16

  • 1. Sécurité Docker Frédéric DONNAT – Directeur Technique et Co-Fondateur fred@secludit.com Téléphone 06 59 98 30 77
  • 2. Agenda 1. Socle Docker  Infrastructure, Serveur Hôte (OS)  Docker Secure Deployment Guideline  CIS Benchmark : Docker bench Security 2. Image Docker  Registry : Docker Hub  Sécurité propres image docker  Scan : Docker Scanning Services, TwistLock trust, Clair 3. Ecosystème Docker : Non abordé ici  Kubernetes, Mesos, Swarm, etc…
  • 3. Socle Docker 1. Contraintes  Infrastructure, Server host (OS)  Docker est un « root » daemon  Docker « daemon » socket 2. Sécurité  Bonnes pratiques : Docker Secure Deployment Guidelines  Sécurité du noyau : AppArmor, GRSEC, …  Isolation réseau  Authentification et Autorisation  Canal sécurisé  Traçabilité : Logs, Audit  CIS Benchmark : Docker bench Security
  • 4. Docker CIS Benchmark • 6 Chapitres  Configuration du serveur hôte  Configuration du « daemon » docker  Fichiers de configuration du daemon » docker  Image de « container » et fichier de « build »  Exécution de « container »  Opérations de sécurité pour Docker • 104 Règles  1.1 Partition dédiée pour les « containers »  2.1 Restriction du traffique entre « containers »  6.1 Faire des audits régulières du système hôte et des « containers »
  • 5. Exemple : Docker CIS Benchmark Description Test Solution
  • 6. Image Docker 1. Contraintes  Docker Hub / Docker Image  Partage d’Image  Attaque sur le server Hôte via le container :  DoS  Elévation de privilèges  Partage de ressources et données 2. Sécurité  Principe de « moindre privilège »  Accès, Autorisation, Ressources  Nettoyage : Logs, Clés, Historique, …  Audit des images : Docker Scan
  • 7. Sécurité Docker : Liens utiles • Guides : • https://docs.docker.com/engine/security/security/ • https://docs.docker.com/docker-cloud/builds/image-scan/ • https://github.com/GDSSecurity/Docker-Secure-Deployment-Guidelines • https://benchmarks.cisecurity.org/tools2/docker/CIS_Docker_1.13.0_Benchmark_v1.0.0.pdf • Outils : • https://github.com/dev-sec/cis-docker-benchmark • https://github.com/coreos/clair/ • https://github.com/cr0hn/dockerscan • https://cloud.docker.com/