In den sicheren Hafen jax2020
•0 gefällt mir•559 views
Melden
Teilen
Downloaden Sie, um offline zu lesen
Bei dem Vorhaben, Container in Produktion zu betreiben, sind einige Aspekte zu betrachten. Unter anderem besteht der Bedarf, die erzeugten Images in geeigneten Repositories innerhalb einer sogenannten Container-Registry abzulegen. Es muss sichergestellt werden, dass nicht ungewollt fremde Container aus unbekannten Quellen oder manipulierte Images mit Malware den Weg in die Produktion schaffen. Des Weiteren sollen keine Container betrieben werden, deren Images bekannte Verwundbarkeiten beinhalten. In diesem Vortrag wird Projekt Harbor vorgestellt, eine Open-Source-Cloud-Native-Container-Registry, die on premises betrieben werden kann und Vulnerability-Scans und Content-Trust unterstützt. Darüberhinaus stelle ich euch den OWASP-Container-Security-Verification-Standard vor, der wichtige Tipps für sicherere Container und Infrastruktur bereitstellt.
Recomendados
Más contenido relacionado
Was ist angesagt?
Was ist angesagt?(20)
Similar a In den sicheren Hafen jax2020
Similar a In den sicheren Hafen jax2020(20)
In den sicheren Hafen jax2020
- 1. In den sicheren Hafen Einstieg in Container Security @kitenco1
- 2. Stephan Kaps Leiter Softwareentwicklung Bundesamt für Soziale Sicherung Gründer Java User Group Bonn Java Entwickler & Architekt seit 2002 Weitere Schwerpunkte: - Softwareentwicklungsprozesse - BizDevSecOps - OpenSource - Speaker & Autor @kitenco1
- 4. Wovon reden wir bei Security? Vertraulichkeit Integrität Verfügbarkeit https://www.flaticon.com/authors/pause08https://www.flaticon.com/authors/freepik https://www.flaticon.com/authors/eucalyp @kitenco1
- 6. Quellen - BSI Grundschutz Baustein “Container” (DRAFT) - CIS Benchmark - NIST Application Container Security Guide SP 800-190 - OWASP Docker Security Cheat Sheet - OWASP Container Security Verification Standard Heute out of Scope: Orchestrierungslösungen wie Kubernetes @kitenco1
- 8. Container Security Verification Standard (CSVS) - OWASP OpenSource Projekt - Als ausführliche Anleitung zur Sicherheitsarchitektur - Als Ersatz für handelsübliche Checklisten - Für Sicherheitstrainings - drei Stufen, die man als Beginner, Fortgeschritten und Expertenlevel beschreiben könnte - Insgesamt 106 Empfehlungen, unterteilt in 12 Kategorien @kitenco1
- 9. Organisatorische Aspekte - Regelmäßige Sensibilisierung und Schulung der Mitarbeiter - Regelmäßige Sensibilisierung und Schulung der Manager - Klassifizierung der zu verarbeitenden Daten - Change-Management bzw. Continuous Deployment definieren @kitenco1
- 11. “Stellen Sie sicher, dass alle Knoten auf der Grundlage gängiger Best Practices gehärtet sind. @kitenco1
- 12. “Stellen Sie sicher, dass container-spezifische Betriebssysteme auf allen Knoten anstelle von Allzweck-Betriebssystemen verwendet werden. @kitenco1
- 13. “Stellen Sie sicher, dass Updates für die Knoten und die Docker Engine in regelmäßigen Abständen angewendet werden. Das Anwenden von Updates erfolgt im Idealfall vollautomatisch. @kitenco1
- 14. “Stellen Sie sicher, dass, sofern nicht anders angegeben, die Standardwerte für die Docker-Konfiguration verwendet werden. @kitenco1
- 15. “Stellen Sie sicher, dass der direkte Zugriff auf Knoten (z. B. über SSH oder RDP) so weit wie möglich eingeschränkt ist. @kitenco1
- 16. “Stellen Sie sicher, dass die für Container verfügbaren Ressourcen begrenzt sind (ulimit). @kitenco1
- 17. “Stellen Sie sicher, dass die für Container verfügbaren Ressourcen begrenzt sind (ulimit). @kitenco1
- 18. “Stellen Sie sicher, dass alle Knoten regelmäßigen automatisierten Sicherheitsüberprüfungen unterzogen werden, die sich auf das gesamte Betriebssystem und nicht nur auf containerbezogene Elemente beziehen. @kitenco1
- 20. The benchmark categorizes Docker security concerns into these groups (with number of concerns in parenthesis): Host Configuration (15) Docker daemon configuration (13) Docker daemon configuration files (20) Container Images and Build File (5) Container Runtime (25) Docker Security Operations (5) @kitenco1
- 21. docker run -it --net host --pid host --userns host --cap-add audit_control -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST -v /etc:/etc:ro -v /usr/bin/containerd:/usr/bin/containerd:ro -v /usr/bin/runc:/usr/bin/runc:ro -v /usr/lib/systemd:/usr/lib/systemd:ro -v /var/lib:/var/lib:ro -v /var/run/docker.sock:/var/run/docker.sock:ro --label docker_bench_security docker/docker-bench-security @kitenco1
- 22. @kitenco1
- 23. “Stellen Sie sicher, dass der Root-Benutzer nur während der Initialisierung verwendet wird und die Berechtigungen nach Abschluss gelöscht werden. @kitenco1
- 24. @kitenco1 Quelle: https://cheatsheetseries.owasp.org/cheatsheets/Docker_Security_Cheat_Sheet.html
- 25. “Stellen Sie sicher, dass der Benutzer-Namespace aktiviert ist. @kitenco1
- 26. @kitenco1
- 27. “Stellen Sie sicher, dass Containern während ihrer Laufzeit keine zusätzlichen Berechtigungen gewährt werden (--no-new-privileges flag). @kitenco1
- 28. “Stellen Sie sicher, dass die Anzahl der zulässigen Prozesse in einem Container genau definiert und auf diesen Wert begrenzt ist, indem Sie "--pids-limit" verwenden. @kitenco1
- 29. @kitenco1
- 30. “Stellen Sie sicher, dass Remoteverwaltungsdienste wie SSH oder RDP deaktiviert sind oder gar nicht erst in Containern installiert sind. @kitenco1
- 31. “Stellen Sie sicher, dass nur die erforderlichen Softwarepakete in den Images installiert sind. @kitenco1
- 32. “Stellen Sie sicher, dass der Docker-Socket nicht in einem Container gemountet ist, es sei denn, er wird zur Überwachung oder Verwaltung verwendet. @kitenco1
- 35. “Verwenden Sie eine Container Registry. Für Hochverfügbarkeit eine ungerade Zahl, mindestens 3 @kitenco1
- 37. Wann lohnt sich der Betrieb einer eigenen Registry? - Compliance - Kosten - Geschwindigkeit - Integration @kitenco1
- 38. @kitenco1
- 39. @kitenco1
- 40. @kitenco1
- 41. @kitenco1
- 42. @kitenco1
- 43. @kitenco1
- 44. @kitenco1
- 45. @kitenco1
- 46. @kitenco1
- 47. “Stellen Sie sicher, dass alle Images regelmäßigen automatischen Sicherheitsscans unterzogen werden. @kitenco1
- 48. “Stellen Sie sicher, dass die Speicherbereinigung in den Image-Registries aktiviert ist und regelmäßig ausgeführt wird. @kitenco1
- 49. “Stellen Sie sicher, dass Container immer auf der Grundlage des neuesten entsprechenden Images und nicht der lokalen Caches erstellt werden. @kitenco1
- 50. “Stellen Sie sicher, dass Container immer auf der Grundlage des neuesten entsprechenden Images und nicht der lokalen Caches erstellt werden. @kitenco1
- 52. “Stellen Sie sicher, dass Docker Content Trust aktiviert und erzwungen ist. @kitenco1
- 53. PODMAN uses GPG signing https://github.com/containers/podman/blob/master/docs/tutorials/image_signing.md
- 54. “Stellen Sie sicher, dass Geheimnisse (z. B. kryptografische Schlüssel und Kennwörter) sicher mit einer Secret Management Lösung verwendet werden, anstatt z.B. unter Verwendung von Umgebungsvariablen einem Container bereitgestellt werden. @kitenco1
- 55. @kitenco1
- 56. @kitenco1
- 57. @kitenco1
- 58. @kitenco1
- 59. “Stellen Sie sicher, dass die Knotenzertifikate in regelmäßigen Abständen rotiert werden. @kitenco1
- 60. “Stellen Sie sicher, dass CA-Zertifikate in regelmäßigen Abständen rotiert werden. @kitenco1
- 61. “Stellen Sie sicher, dass Ihre eigene Zertifizierungsstelle zum Generieren und Überprüfen von Zertifikaten für die gegenseitige TLS-Authentifizierung der Kommunikation zwischen Clustern verwendet wird. @kitenco1
- 63. “Stellen Sie sicher, dass die verwendeten Ressourcen auf Knoten- und Containerebene überwacht werden. @kitenco1
- 64. “Stellen Sie sicher, dass alle Protokolle an einen zentralen Ort übertragen und dort gespeichert werden. @kitenco1
- 65. “Stellen Sie sicher, dass persistente Daten niemals direkt in einem Container gespeichert werden und dass persistente Daten regelmäßig gesichert und die Wiederherstellung getestet werden. @kitenco1
- 66. “Stellen Sie sicher, dass die CI / CD-Tools und -Systeme mit der Docker-Infrastruktur verbunden sind, damit Änderungen an Knoten, Images oder dem Netzwerk vollständig automatisiert getestet und bereitgestellt werden können. @kitenco1
- 67. “Stellen Sie sicher, dass zusätzliche Knoten automatisch eingerichtet werden können (z. B. Puppet, Chef, Ansible, Salt, Terraform) und wie vorhandene Knoten konfiguriert werden. @kitenco1
- 68. “Stellen Sie sicher, dass die Wiederherstellung der Infrastruktur oder einzelner Anwendungen / Dienste automatisiert, dokumentiert und regelmäßig getestet wird. @kitenco1
- 69. “Stellen Sie sicher, dass ein Such- und Registrierungsdienst wie Consul, Zookeeper, Eureka, Etcd oder auch nur DNS intern und extern verwendet wird. @kitenco1
- 70. “Stellen Sie sicher, dass für jeden Container eine "On-Failure" -Richtlinie zum Neustart aktiviert ist. @kitenco1
- 72. Key Takeaway Recherchieren - Ausprobieren - Analysieren - Optimieren CSVS / CIS Benchmark liefern Checkliste für Maßnahmen Mit ein paar kleinen Konfigurationen und den richtigen Tools können viele Aspekte abgedeckt werden @kitenco1
- 74. Vielen Dank! Kontakt: Stephan Kaps info@kitenco.de www.kitenco.de @kitenco1 https://www.xing.com/profile/Stephan_Kaps2 https://www.linkedin.com/in/stephan-kaps-b246b0ab/ http://de.slideshare.net/kitenco Quelle aller Hintergrundgrafiken ist https://www.pixabay.com