Segurança e hacking de containers Docker - RoadSec POA 2018

Transcript

1. Segurança e hacking de containers Docker Fernando Silva / Software

   Developer Analyst at KingHost

2. Visão Geral 1 - Estatísticas 2 - Preocupações com segurança

   ao usar Docker 3 - Práticas de segurança 4 - Ferramentas de análise de segurança e hacking

3. O que é Docker? VMs Containers

4. O que é Docker? VMs Containers

5. O que é Docker? VMs Containers

6. O que é Docker? VMs Containers

7. Estatísticas Pesquisa realizada entre 14 e 25 de agosto 2017

   36 participantes

8. Já utilizou Docker em produção?

9. Verifica vulnerabilidades nas imagens utilizadas?

10. Como verificar vulnerabilidades? • Processo de análise manual, analisando o

    dockerfile e suas dependências

11. Como verificar vulnerabilidades? • Processo de análise manual, analisando o

    dockerfile e suas dependências • Autenticação, permissões e qualquer tipo de comunicação com o host é mapeada

12. Como verificar vulnerabilidades? • Processo de análise manual, analisando o

    dockerfile e suas dependências • Autenticação, permissões e qualquer tipo de comunicação com o host é mapeada • Clair, TwistLock e Aqua

13. Como verificar vulnerabilidades? • Processo de análise manual, analisando o

    dockerfile e suas dependências • Autenticação, permissões e qualquer tipo de comunicação com o host é mapeada • Clair, TwistLock e Aqua • Mais de 80% não verifica

14. Preocupações com segurança ao usar Docker

15. Kernel exploits (exploração do kernel)

16. Ao contrário de uma VM, o kernel é compartilhado entre

    todos os containers e o host, aumentando a importância de qualquer vulnerabilidade que explore o kernel. Kernel exploits (exploração do kernel)

17. Denial-of-service attacks (ataque de negação de serviço)

18. Como todos os containers compartilham recursos do kernel, se um

    container pode monopolizar o acesso a certos recursos, incluindo memória, processamento, ou até IDs de usuário (UIDs), pode faltar recursos para outros containers, resultando em uma negação de serviço (DoS). Denial-of-service attacks (ataque de negação de serviço)

19. Denial-of-service attacks (ataque de negação de serviço)

20. Container breakouts (invasão de container) Um invasor que tem acesso

    a um container não pode ter acesso a outros containers ou ao host. Se você usa root no container, você será root no host.

21. Application secrets (segredos de aplicações)

22. Application secrets (segredos de aplicações) Quando um container acessa um

    banco de dados ou serviço, provavelmente exigirá credenciais, como um token ou mesmo usuário e senha. Se um invasor tiver acesso ao container terá acesso a estes dados.

23. Poisoned images (imagens “envenenadas”)

24. Poisoned images (imagens “envenenadas”) https://hub.docker.com/r/fernandosilva/nginx-trojanized/

25. Poisoned images (imagens “envenenadas”) https://hub.docker.com/r/fernandosilva/nginx-trojanized/

26. Poisoned images (imagens “envenenadas”) https://medium.com/@FernandoDebrand/docker-hackers-conteinerizacao-a9e2b267676a 17 imagens Docker disponibilizadas por

    uma única conta durante 10 meses no Docker Hub, com mais de 5 milhões de pulls, podem ter minerado US $90.000 em criptomoedas Monero.

27. Poisoned images (imagens “envenenadas”)

28. Nuvem da Tesla foi invadida e usada para minerar criptomoeda

    https://blog.redlock.io/cryptojacking-tesla

29. Poisoned images (imagens “envenenadas”) https://github.com/docker/hub-feedback/issues/1554

30. https://blog.aquasec.com/cryptocurrency-miners-abusing-containers-anatomy-of-an-attempted-attack Anatomy of an (Attempted) Attack (Anatomia de um Ataque

    (Tentativa) )

31. Anatomy of an (Attempted) Attack (Anatomia de um Ataque (Tentativa)

    )

32. Práticas de segurança

33. Como devemos armazenar dados sensíveis, como senhas, chaves privadas, tokens,

    chaves de APIs?

34. Como não devemos armazenar dados sensíveis

35. Não use variáveis de ambiente ou incorpore na imagem de

    container https://wycd.net/posts/2017-02-21-ibm-whole-cluster-privilege-escalation-disclosure.html

36. Docker Secrets Management

37. None
38. None

39. Vault HashiCorp

40. Proteja seu host ❖ Certifique-se de que seu host e

    a configuração do Docker engine sejam seguras ❖ Mantenha seu SO atualizado ❖ Impor controle de acesso para evitar operações indesejadas, tanto no host como nos containers, usando ferramentas como SecComp, AppArmor ou SELinux

41. Redução dos privilégios ❖ Tomar cuidado ao executar como root

    ❖ Crie namespaces isolados ❖ Limitar privilégios ao máximo ❖ Verifique se o container é confiável (verifique a imagem)

42. Alto uso de recursos do container ❖ Limite os recursos

    no kernel ou no container ❖ Fazer testes de carga antes de pôr em produção ❖ Implemente monitoramento e alertas

43. Autenticidade da imagem ❖ De onde veio? ❖ Você confia

    no criador? ❖ Quais políticas de segurança está usando? ❖ Identificação do autor ❖ Não use se não confia na fonte ❖ Use um servidor Docker Registry próprio ❖ Verifique a assinatura da imagem

44. Vulnerabilidades de segurança presentes na imagem ❖ Inspecionar as imagens

    ❖ Atualize para pegar novos patches de segurança ❖ Utilize uma ferramenta de scanner de vulnerabilidades ❖ Integre esse scanner como etapa do seu CI/CD

45. Ferramentas

46. Docker Security Scanning

47. None
48. None
49. None
50. None
51. None
52. None

53. Discover, Analyze, and Certify Container Images anchore.io

54. microbadger.com

55. Demonstração

56. Open source project for the static analysis of vulnerabilities in

    appc and docker containers github.com/coreos/clair

57. Online automatic analysis quay.io

58. None

59. Container Security for Docker, Kubernetes and Beyond twistlock.com

60. None

61. Aqua Container Security Platform aquasec.com

62. None
63. None

64. https://blog.aquasec.com/aqua-microscanner-free-image-vulnerability-scanning-plug-in-for-jenkins

65. None
66. None

67. https://blog.aquasec.com/kube-hunter-kubernetes-penetration-testing

68. None

69. The Behavioral Activity Monitor With Container Support github.com/draios/falco

70. github.com/kost/dockscan

71. Docker Scan github.com/cr0hn/dockerscan

72. Principais Funcionalidades ❖ Faz scan de uma rede tentando localizar

    os Docker Registries ❖ Registry ❖ Delete: Exclui image / tag remota ❖ Info: Mostra informações de registros remotos ❖ Push: Envia uma imagem ❖ Upload: Upload de arquivo

73. Principais Funcionalidades ❖ Image ❖ Analyze ▪ Busca por informações

    confidenciais em uma imagem ▪ Busca por senhas em variáveis de ambiente ▪ Busca por qualquer URL / IP em variáveis de ambiente ▪ Tenta identificar o usuário usado para executar o software

74. Principais Funcionalidades ❖ Image ❖ Extract: extrair uma imagem ❖

    Info: Obtém meta-informação da imagem ❖ Modify: ➢ entrypoint: altere o ponto de entrada em um docker ➢ trojanize: injeta um reverser shell em uma imagem docker ➢ user: altere o usuário em execução em uma imagem docker

75. Exemplo DockerScan

76. Exemplo DockerScan

77. Mais conteúdo sobre... scaledocker.com cisecurity.org/benchmark/docker

78. Mais conteúdo sobre... oreilly.com/docker-security docker.com/docker-security

79. Referências / Links • https://gianarb.it/blog/Docker-Security-Benchmark • https://sysdig.com/blog/20-docker-security-tools • https://sysdig.com/blog/7-docker-security-vulnerabilities •

    http://techfree.com.br/2015/06/seguranca-no-docker • https://blog.docker.com/2016/05/docker-security-scanning • https://blog.docker.com/2015/05/understanding-docker-security-and-best-practices • http://rancher.com/container-security-tools-breakdown • https://medium.com/enterstone/protegendo-docker-f95a831a31f3 • https://securitytraning.com/docker-containers-security • https://www.tripwire.com/state-of-security/featured/security-risks-consider-deploying-containers-d ocker • https://blog.sqreen.io/docker-security • https://blog.docker.com/2017/02/docker-secrets-management • http://kingho.st/fernando-silva

80. Obrigado! Perguntas? [email protected] @FernandoDebrand