Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DOCKER. Seguridad y monitorización en contenedores e imágenes

jmortegac
June 14, 2019
Technology
1
600

DOCKER. Seguridad y monitorización en contenedores e imágenes

Este charla tiene como objetivo introducir los conocimientos para entender cómo gestiona Docker la seguridad tanto desde el punto de vista de la máquina donde lo ejecutamos, como desde el desarrollo y despliegue de imágenes.

Docker es una herramienta portable para virtualización basada en contenedores y permite también la portabilidad de las aplicaciones.Se comentarán el conjunto de buenas prácticas que minimicen en la medida de lo posible la exposición de nuestra aplicación ante posibles ataques.

Desde el punto de vista del análisis de imágenes comentaremos una serie de herramientas que permiten al usuario analizar cada una de las capas de las imágenes y contenedores en búsqueda de librerías desactualizadas, y vulnerabilidades y exposiciones comunes que podemos encontrar en la base de datos (CVE).

Entre los puntos a tratar podemos destacar:
- Introducción a la seguridad en docker
- Seguridad en contenedores e imágenes
- Monitorización en contenedores Docker
- Auditorías sobre imágenes y vulnerabilidades

Además he escrito un libro sobre este tema:
https://rclibros.es/producto/docker-seguridad-y-monitorizacion-en-contenedores-e-imagenes/

jmortegac

June 14, 2019
Tweet

More Decks by jmortegac

See All by jmortegac
Evolution of security strategies in K8s environments
jmortega
0
5
Implementing Observability for Kubernetes
jmortega
0
9
Computación distribuida usando Python
jmortega
0
38
Seguridad_en_arquitecturas_serverless_y_entornos_cloud.pdf
jmortega
0
61
Construyendo arquitecturas zero trust sobre entornos cloud
jmortega
0
33
Tips and tricks for data science projects with Python
jmortega
0
36
Sharing secret keys in Docker containers and K8s
jmortega
0
84
Implementing cert-manager in K8s
jmortega
0
120
Python para equipos de ciberseguridad(pycones)
jmortega
0
88

Other Decks in Technology

See All in Technology
Designing an Incident Response Process at Scale
opeonikute
0
150
製造業が強い愛知から始まったチーム作り8年の旅路とその現場から見えたこと
nktamago
0
240
Mutating Meetup with GraphQL
adavis
1
310
【初心者向け】まだ間に合う! Hugging Face入門 -TransformersでAI推論&学習
tkhresk
3
630
Goで実装された高速な
仮想待合室サーバの実装と詳解
pyama86
13
5.6k
(n=1の)テーブルデータコンペの取り組み方
makotu
1
1k
Airplay
elcuervo
0
140
Material 3 やめました / Good-bye M3 design system
yanzm
3
2.4k
Individualizing treatment effects: transportability and model selection
gaelvaroquaux
0
240
サーバーレスで仮想待合室を作ろう! / Serverless Virtual Waiting Room
_kensh
3
660
Beyond the Baseline: Horizons for Cloud Security Programs
ramimac
0
140
How to test GraphQL API using Postman
yokawasa
0
330

Featured

See All Featured
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
11
870
The Illustrated Children's Guide to Kubernetes
chrisshort
26
45k
In The Pink: A Labor of Love
frogandcode
135
21k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
101
6.4k
Happy Clients
brianwarren
92
6.1k
Pencils Down: Stop Designing & Start Developing
hursman
115
10k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.6k
Optimizing for Happiness
mojombo
368
67k
Design by the Numbers
sachag
272
18k
How to train your dragon (web standard)
notwaldorf
70
4.7k
RailsConf 2023
tenderlove
0
230
Embracing the Ebb and Flow
colly
77
3.8k

Transcript

  1. DOCKER
    Seguridad y monitorización en contenedores e imágenes
    José Manuel Ortega @jmortegac

    View Slide

  2. AGENDA
    @jmortegac
    jmortega.github.io
    about.me/jmortegac

    View Slide

  3. AGENDA

    View Slide

  4. AGENDA
    CONFERENCIAS Y CURSOS http://jmortega.github.io/

    View Slide

  5. AGENDA

    View Slide

  6. AGENDA
    INTRODUCCIÓN A LA PROGRAMACIÓN CON PYTHON
    METODOLOGÍA Y HERRAMIENTAS DE DESARROLLO
    LIBRERÍAS Y MÓDULOS PARA REALIZAR PETICIONES
    RECOLECCIÓN DE INFORMACIÓN CON PYTHON
    EXTRACCIÓN DE INFORMACIÓN CON PYTHON
    WEBSCRAPING CON PYTHON
    ESCANEO DE PUERTOS Y REDES CON PYTHON
    HERRAMIENTAS AVANZADAS

    View Slide

  7. AGENDA

    View Slide

  8. AGENDA

    View Slide

  9. AGENDA

    View Slide

  10. AGENDA
    ● Introducción a la seguridad en docker
    ● Seguridad en contenedores e imágenes
    ● Monitorización en contenedores Docker
    ● Auditorías sobre imágenes y vulnerabilidades

    View Slide

  11. Introducción a la seguridad en docker

    View Slide

  12. Introducción a la seguridad en docker
    ● Linux kernel namespaces
    ● Linux Control Groups (cgroups)
    ● Docker daemon
    ● Linux capabilities (libcap)
    ● Mecanismos de seguridad en linux
    ○ AppArmor, SELinux, Seccomp

    View Slide

  13. Introducción a la seguridad en docker

    View Slide

  14. Introducción a la seguridad en docker

    View Slide

  15. Introducción a la seguridad en docker

    View Slide

  16. Introducción a la seguridad en docker

    View Slide

  17. Introducción a la seguridad en docker

    View Slide

  18. Introducción a la seguridad en docker
    http://man7.org/linux/man-pages/man7/capabilities.7.html

    View Slide

  19. Introducción a la seguridad en docker

    View Slide

  20. Introducción a la seguridad en docker

    View Slide

  21. Introducción a la seguridad en docker

    View Slide

  22. Introducción a la seguridad en docker

    View Slide

  23. Introducción a la seguridad en docker

    View Slide

  24. Introducción a la seguridad en docker

    View Slide

  25. Docker network

    View Slide

  26. Docker network

    View Slide

  27. Docker network

    View Slide

  28. Docker network

    View Slide

  29. Introducción a la seguridad en docker

    View Slide

  30. Introducción a la seguridad en docker
    docker run --name mysql --read-only -v
    /var/lib/mysql -v /tmp -d -e
    MYSQL_ROOT_PASSWORD=password mysql

    View Slide

  31. Introducción a la seguridad en docker

    View Slide

  32. Introducción a la seguridad en docker

    View Slide

  33. Introducción a la seguridad en docker

    View Slide

  34. Introducción a la seguridad en docker

    View Slide

  35. Introducción a la seguridad en docker

    View Slide

  36. Introducción a la seguridad en docker

    View Slide

  37. Docker inspect

    View Slide

  38. Alpine
    https://github.com/gliderlabs/docker-alpine

    View Slide

  39. Distroless
    https://github.com/GoogleContainerTools/distroless

    View Slide

  40. Distroless
    https://github.com/GoogleContainerTools/distroless/tree/master/examples/python3

    View Slide

  41. Distroless

    View Slide

  42. Docker Content Trust

    View Slide

  43. Docker Content Trust

    View Slide

  44. Docker Content Trust

    View Slide

  45. DockerFiles

    View Slide

  46. Docker Registry

    View Slide

  47. Docker Registry
    https://hub.docker.com/_/registry

    View Slide

  48. Docker Registry

    View Slide

  49. Docker Registry

    View Slide

  50. Docker Registry

    View Slide

  51. Docker Bench for Security
    https://hub.docker.com/r/docker/docker-bench-security

    View Slide

  52. Docker Bench for Security
    docker run -it --net host --pid host --userns host --cap-add
    audit_control \
    -e
    DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
    -v /var/lib:/var/lib \
    -v /var/run/docker.sock:/var/run/docker.sock \
    -v /usr/lib/systemd:/usr/lib/systemd \
    -v /etc:/etc --label docker_bench_security \
    docker/docker-bench-security

    View Slide

  53. Benchmarks
    https://www.cisecurity.org/cis-benchmarks/

    View Slide

  54. Docker Bench for Security
    ● La configuración del host
    ● La configuración del Daemon Docker
    ● Los archivos de configuración de Docker Daemon
    ● Contenedor de imágenes y archivos de compilación
    ● Contenedor en tiempo de ejecución
    ● Operaciones de seguridad de Docker

    View Slide

  55. Docker Bench for Security

    View Slide

  56. Docker Bench for Security

    View Slide

  57. Docker Bench for Security

    View Slide

  58. Kubebench
    https://github.com/aquasecurity/kube-bench

    View Slide

  59. Kubebench

    View Slide

  60. Kubebench

    View Slide

  61. Monitorización en
    contenedores Docker

    View Slide

  62. Monitorización de contenedores docker
    docker stats [OPTIONS] [CONTAINER...]

    View Slide

  63. Monitorización de contenedores docker
    curl -s http://localhost:2375/v1.12/containers
    //stats

    View Slide

  64. Monitorización de contenedores docker

    View Slide

  65. Monitorización de contenedores docker
    https://github.com/google/cadvisor

    View Slide

  66. Monitorización de contenedores docker

    View Slide

  67. Monitorización de contenedores docker

    View Slide

  68. Monitorización de contenedores docker

    View Slide

  69. Monitorización de contenedores docker

    View Slide

  70. Monitorización de contenedores docker

    View Slide

  71. Monitorización de contenedores docker

    View Slide

  72. Monitorización de contenedores docker

    View Slide

  73. Monitorización de contenedores docker

    View Slide

  74. Monitorización de contenedores docker

    View Slide

  75. Monitorización de contenedores docker
    https://www.katacoda.com/portainer/scenarios/deploying-to-swarm

    View Slide

  76. Monitorización de contenedores docker

    View Slide

  77. Sysdig

    View Slide

  78. Sysdig falco

    View Slide

  79. Sysdig falco

    View Slide

  80. Sysdig falco

    View Slide

  81. Sysdig falco

    View Slide

  82. Csysdig

    View Slide

  83. Seccomp
    docker info | grep seccomp
    grep SECCOMP /boot/config-$(uname -r)

    View Slide

  84. Seccomp
    https://github.com/docker/labs/tree/master/security/seccomp/
    seccomp-profiles
    docker container run -it --rm --security-opt
    seccomp=.json alpine sh

    View Slide

  85. Seccomp

    View Slide

  86. Seccomp

    View Slide

  87. Seccomp
    https://github.com/antitree/syscall2seccomp

    View Slide

  88. Auditorías sobre imágenes
    y vulnerabilidades

    View Slide

  89. Container image scanning
    ● Comprobar paquetes de software, binarios,
    librerías, sistemas operativos y sus
    vulnerabilidades
    ● Analizar dockerfile y metadatos
    ● Políticas de usuario: blacklist, no permitir
    imágenes con determinado software

    View Slide

  90. Container image scanning

    View Slide

  91. Docker Security Scanning

    View Slide

  92. Docker Security Scanning

    View Slide

  93. Clair Scanner
    Quay.io registry

    View Slide

  94. Clair Scanner Databases
    Quay.io registry

    View Slide

  95. Clair Scanner
    Quay.io registry

    View Slide

  96. Clair Scanner
    Quay.io registry
    # Descarga e instalación de la herramienta
    $ git clone
    https://github.com/hxquangnhat/clair-analyze-local-images.
    git
    $ cd clair-analyze-local-images/
    $ docker-compose up -d
    # Análisis imagen Docker
    $ docker exec clair_clair analyzer

    View Slide

  97. Clair Scanner
    Quay.io registry

    View Slide

  98. Clair Scanner
    Quay.io registry
    $ docker exec clair_clair analyzer

    View Slide

  99. Clair Scanner
    Quay.io registry

    View Slide

  100. Quay.io registry

    View Slide

  101. Quay.io registry

    View Slide

  102. Quay.io registry

    View Slide

  103. Quay.io registry

    View Slide

  104. Anchore engine

    View Slide

  105. Anchore engine
    https://github.com/anchore/anchore-engine

    View Slide

  106. Anchore engine

    View Slide

  107. Anchore cli
    ● pip install anchorecli
    ● git clone
    https://github.com/anchore/anchore-cli
    cd anchore-cli
    pip install --user --upgrade .
    ● python setup.py install

    View Slide

  108. Anchore cli

    View Slide

  109. Anchore cli
    # Disponibilizar una imagen a Anchore
    $ [docker run anchore-cli] anchore-cli image add
    # Visualizar contenido de la imagen
    $ anchore-cli image content os
    # Analizar contenido de la imagen
    $ anchore-cli image content os
    # Evaluar en base al cumplimiento de la política
    $ anchore-cli evaluate check os

    View Slide

  110. Anchore cli

    View Slide

  111. Anchore open source
    https://anchore.com/opensource/

    View Slide

  112. Anchore slack channel
    https://communityinviter.com/apps/anchorecommunity/anchore

    View Slide

  113. Dagda
    https://github.com/eliasgranderubio/dagda

    View Slide

  114. Dagda
    https://github.com/eliasgranderubio/dagda

    View Slide

  115. Dagda

    View Slide

  116. Dagda

    View Slide

  117. Dagda

    View Slide

  118. NVD
    https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi
    ew&query=docker&search_type=all

    View Slide

  119. NVD

    View Slide

  120. NVD

    View Slide

  121. NVD

    View Slide

  122. Docker CVE

    View Slide

  123. Docker CVE

    View Slide

  124. Docker Vulnerabilities

    View Slide

  125. Docker Vulnerabilities

    View Slide

  126. Amenazas
    ● Dirty cow exploit: Escalada de privilegios
    root en un host o contenedor
    ● Buffer overflow en librerías de Python y
    Ruby permitiendo la ejecución maliciosa
    de código
    ● Vulnerabilidades en glibc
    ● OpenSSL heap corruption

    View Slide

  127. Docker Vulnerabilities
    CVE-2015-0235
    GHOST
    Buffer Overflow

    View Slide

  128. Docker Vulnerabilities
    CVE-2014-0160
    Heartbleed
    struct {
    HeartbeatMessageType type;
    uint16 payload_length;
    opaque
    payload[HeartbeatMessage.payload_length];
    opaque padding[padding_length];
    } HeartbeatMessage

    View Slide

  129. Dirty Cow
    https://dirtycow.ninja/

    View Slide

  130. Dirty Cow
    https://github.com/dirtycow/dirtycow.github.io/
    wiki/PoCs

    View Slide

  131. Dirty Cow
    https://github.com/Alpha-Cybersecurity/dirtyc
    0w-docker

    View Slide

  132. Dirty Cow

    View Slide

  133. Dirty Cow execution

    View Slide

  134. Prevent DirtyCow with apparmor

    View Slide

  135. Dirty Cow
    https://security-tracker.debian.org/tracker/CVE-2016-5195

    View Slide

  136. Vulnerabilidad en imágenes alpine
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5021

    View Slide

  137. Vulnerabilidad en imágenes alpine

    View Slide

  138. Vulnerabilidad en imágenes alpine

    View Slide

  139. Vulnerabilidad en imágenes alpine

    View Slide

  140. Soluciones enterprise

    View Slide

  141. Soluciones enterprise

    View Slide

  142. Soluciones enterprise
    https://www.twistlock.com/labs/

    View Slide

  143. Soluciones enterprise

    View Slide

  144. Soluciones enterprise

    View Slide

  145. Formación
    https://thesecuritysentinel.es/curso/hcds-docker-secdevops/

    View Slide