Segurança e hacking de containers Docker

Transcript

1. Segurança e hacking de containers Docker Fernando Silva @FernandoDebrand

2. Sobre mim! Fernando Silva Analista de Desenvolvimento

3. Visão Geral - Estatísticas - Preocupações com segurança ao usar

   Docker - Práticas de segurança - Ferramentas de análise de segurança e hacking

4. O que é Docker? VMs Containers

5. Estatísticas Pesquisa realizada entre 14 e 25 de agosto 2017

   36 participantes

6. Já utilizou Docker em produção?

7. Verifica vulnerabilidades nas imagens utilizadas?

8. ∎ Processo de análise manual, analisando o dockerfile e suas

   dependências ∎ Autenticação, permissões e qualquer tipo de comunicação com o host é mapeada ∎ Clair, TwistLock e Aqua ∎ Mais de 80% não verifica Como verificar vulnerabilidades?

9. Preocupações com segurança ao usar Docker

10. Ao contrário de uma VM, o kernel é compartilhado entre

    todos os containers e o host, aumentando a importância de qualquer vulnerabilidade que explore o kernel. Kernel exploits (exploração do kernel)

11. Como todos os containers compartilham recursos do kernel, se um

    container pode monopolizar o acesso a certos recursos, incluindo memória, ou até IDs de usuário (UIDs), pode faltar recursos para outros containers, resultando em uma negação de serviço (DoS). Denial-of-service attacks (ataque de negação de serviço)

12. Um invasor que tem acesso a um container não pode

    ter acesso a outros containers ou ao host. Se você usa root no container, você será root no host. Container breakouts (invasão de container)

13. Quando um container acessa um banco de dados ou serviço,

    provavelmente exigirá credenciais, como um token ou mesmo usuário e senha. Se um invasor tiver acesso ao container terá acesso a estes dados. Application secrets (segredos de aplicações)

14. Como você sabe que as imagens que você está usando

    são seguras, não foram adulteradas, e vêm de onde elas afirmam vir? Poisoned images (imagens “envenenadas”)

15. Poisoned images (imagens “envenenadas”) https://hub.docker.com/r/fernandosilva/nginx-trojanized/

16. Poisoned images (imagens “envenenadas”)

17. Como hackers estão explorando conteinerização

18. https://medium.com/@FernandoDebrand/docker-hackers-conteinerizacao-a9e2b267676a 17 imagens Docker disponibilizadas por uma única conta durante

    10 meses no Docker Hub, com mais de 5 milhões de pulls, podem ter minerado US $90.000 em criptomoedas Monero.
19. None

20. https://github.com/docker/hub-feedback/issues/1554

21. https://blog.aquasec.com/cryptocurrency-miners-abusing-containers-anatomy-of-an-attempted-attack Anatomia dos ataques

22. Anatomia dos ataques

23. Anatomia dos ataques

24. Anatomia dos ataques

25. API do Docker Aberta na Internet?

26. None
27. None

28. Nuvem da Tesla foi invadida e usada para minerar criptomoeda

    https://blog.redlock.io/cryptojacking-tesla

29. Tesla é vítima de cryptojacking Os hackers se infiltraram no

    console Kubernetes da Tesla, que não era protegido por senha. Em um pod Kubernetes, as credenciais de acesso foram expostas ao ambiente AWS da Tesla, que continha um bucket do Amazon S3 (Amazon Simple Storage Service) que tinha dados confidenciais, como telemetria.

30. Script de mineração de criptomoeda em execução no pod Kubernetes

    da Tesla

31. Práticas de segurança

32. None

33. Como não devemos armazenar dados sensíveis

34. Não use variáveis de ambiente ou incorpore na imagem de

    container https://wycd.net/posts/2017-02-21-ibm-whole-cluster-privilege-escalation-disclosure.html

35. Docker Secrets Management

36. O Docker Secrets funciona como um cofre onde você pode

    colocar coisas sensíveis lá e só quem tem a chave do cofre consegue utilizar, no caso essa chave é designada aos nós dos serviços que a chave for atribuída. Docker Secrets Management http://www.mundodocker.com.br/docker-secrets/

37. Docker Secrets Management

38. None

39. Vault HashiCorp

40. ∎ Certifique-se de que seu host e a configuração do

    Docker engine sejam seguras ∎ Mantenha seu SO atualizado ∎ Impor controle de acesso para evitar operações indesejadas, tanto no host como nos containers, usando ferramentas como SecComp, AppArmor ou SELinux Proteja seu host

41. ∎ Tomar cuidado ao executar como root ∎ Crie namespaces

    isolados ∎ Limitar privilégios ao máximo ∎ Verifique se o container é confiável (verifique a imagem) Redução dos privilégios

42. ∎ Limite os recursos no kernel ou no container ∎

    Fazer testes de carga antes de pôr em produção ∎ Implemente monitoramento e alertas Alto uso de recursos do container

43. ∎ De onde veio? ∎ Você confia no criador? ∎

    Quais políticas de segurança está usando? ∎ Identificação do autor ∎ Não use se não confia na fonte ∎ Use um servidor Docker Registry próprio ∎ Verifique a assinatura da imagem Autenticidade da imagem

44. ∎ Inspecionar as imagens ∎ Atualize para pegar novos patches

    de segurança ∎ Utilize uma ferramenta de scanner de vulnerabilidades ∎ Integre esse scanner como etapa do seu CI/CD Vulnerabilidades de segurança presentes na imagem
45. None

46. TLS precisa ser ativado especificando o sinalizador tlsverify e apontando

    o tlscacert do Docker para um certificado de CA confiável. Há um processo passo-a-passo explicado como proteger em https://docs.docker.com/engine/security/https. Proteja o soquete do daemon do Docker

47. Ferramentas de análise de segurança e hacking

48. Docker Security Scanning

49. hub.docker.com

50. store.docker.com

51. cloud.docker.com

52. None
53. None
54. None

55. Discover, Analyze, and Certify Container Images anchore.io

56. imagelayers.io

57. microbadger.com

58. None

59. Open source project for the static analysis of vulnerabilities in

    appc and docker containers. github.com/coreos/clair

60. Online automatic analysis quay.io

61. None

62. Container Security for Docker, Kubernetes and Beyond twistlock.com

63. None

64. Aqua Container Security Platform aquasec.com

65. None
66. None

67. https://blog.aquasec.com/aqua-microscanner-free-image-vulnerability-scanning-plug-in-for-jenkins

68. https://blog.aquasec.com/kube-hunter-kubernetes-penetration-testing

69. None
70. None
71. None
72. None

73. The Behavioral Activity Monitor With Container Support github.com/draios/falco

74. Audit your images, assessing both running containers and cold images

    open-scap.org

75. github.com/kost/dockscan

76. Docker Scan github.com/cr0hn/dockerscan

77. Exemplo DockerScan

78. Exemplo DockerScan

79. Exemplo DockerScan

80. Mais conteúdo sobre... Docker Security - Play Safe scaledocker.com cisecurity.org/benchmark/docker

81. Mais conteúdo sobre... oreilly.com/docker-security docker.com/docker-security

82. Referências / Links • https://gianarb.it/blog/Docker-Security-Benchmark • https://sysdig.com/blog/20-docker-security-tools • https://sysdig.com/blog/7-docker-security-vulnerabilities •

    http://techfree.com.br/2015/06/seguranca-no-docker • https://blog.docker.com/2016/05/docker-security-scanning • https://blog.docker.com/2015/05/understanding-docker-security-and-best-practices • http://rancher.com/container-security-tools-breakdown • https://medium.com/enterstone/protegendo-docker-f95a831a31f3 • https://securitytraning.com/docker-containers-security • https://www.tripwire.com/state-of-security/featured/security-risks-consider-deploying-container s-docker • https://blog.sqreen.io/docker-security • https://blog.docker.com/2017/02/docker-secrets-management

83. OBRIGADO! fernando.poa.br speakerdeck.com/fernandodebrando Perguntas? VENHA FAZER PARTE DO NOSSO TIME

    king.host/talentos