Slide 1

Slide 1 text

DOCKER Seguridad y monitorización en contenedores e imágenes José Manuel Ortega @jmortegac

Slide 2

Slide 2 text

AGENDA @jmortegac jmortega.github.io about.me/jmortegac

Slide 3

Slide 3 text

AGENDA

Slide 4

Slide 4 text

AGENDA CONFERENCIAS Y CURSOS http://jmortega.github.io/

Slide 5

Slide 5 text

AGENDA

Slide 6

Slide 6 text

AGENDA INTRODUCCIÓN A LA PROGRAMACIÓN CON PYTHON METODOLOGÍA Y HERRAMIENTAS DE DESARROLLO LIBRERÍAS Y MÓDULOS PARA REALIZAR PETICIONES RECOLECCIÓN DE INFORMACIÓN CON PYTHON EXTRACCIÓN DE INFORMACIÓN CON PYTHON WEBSCRAPING CON PYTHON ESCANEO DE PUERTOS Y REDES CON PYTHON HERRAMIENTAS AVANZADAS

Slide 7

Slide 7 text

AGENDA

Slide 8

Slide 8 text

AGENDA

Slide 9

Slide 9 text

AGENDA

Slide 10

Slide 10 text

AGENDA ● Introducción a la seguridad en docker ● Seguridad en contenedores e imágenes ● Monitorización en contenedores Docker ● Auditorías sobre imágenes y vulnerabilidades

Slide 11

Slide 11 text

Introducción a la seguridad en docker

Slide 12

Slide 12 text

Introducción a la seguridad en docker ● Linux kernel namespaces ● Linux Control Groups (cgroups) ● Docker daemon ● Linux capabilities (libcap) ● Mecanismos de seguridad en linux ○ AppArmor, SELinux, Seccomp

Slide 13

Slide 13 text

Introducción a la seguridad en docker

Slide 14

Slide 14 text

Introducción a la seguridad en docker

Slide 15

Slide 15 text

Introducción a la seguridad en docker

Slide 16

Slide 16 text

Introducción a la seguridad en docker

Slide 17

Slide 17 text

Introducción a la seguridad en docker

Slide 18

Slide 18 text

Introducción a la seguridad en docker http://man7.org/linux/man-pages/man7/capabilities.7.html

Slide 19

Slide 19 text

Introducción a la seguridad en docker

Slide 20

Slide 20 text

Introducción a la seguridad en docker

Slide 21

Slide 21 text

Introducción a la seguridad en docker

Slide 22

Slide 22 text

Introducción a la seguridad en docker

Slide 23

Slide 23 text

Introducción a la seguridad en docker

Slide 24

Slide 24 text

Introducción a la seguridad en docker

Slide 25

Slide 25 text

Docker network

Slide 26

Slide 26 text

Docker network

Slide 27

Slide 27 text

Docker network

Slide 28

Slide 28 text

Docker network

Slide 29

Slide 29 text

Introducción a la seguridad en docker

Slide 30

Slide 30 text

Introducción a la seguridad en docker docker run --name mysql --read-only -v /var/lib/mysql -v /tmp -d -e MYSQL_ROOT_PASSWORD=password mysql

Slide 31

Slide 31 text

Introducción a la seguridad en docker

Slide 32

Slide 32 text

Introducción a la seguridad en docker

Slide 33

Slide 33 text

Introducción a la seguridad en docker

Slide 34

Slide 34 text

Introducción a la seguridad en docker

Slide 35

Slide 35 text

Introducción a la seguridad en docker

Slide 36

Slide 36 text

Introducción a la seguridad en docker

Slide 37

Slide 37 text

Docker inspect

Slide 38

Slide 38 text

Alpine https://github.com/gliderlabs/docker-alpine

Slide 39

Slide 39 text

Distroless https://github.com/GoogleContainerTools/distroless

Slide 40

Slide 40 text

Distroless https://github.com/GoogleContainerTools/distroless/tree/master/examples/python3

Slide 41

Slide 41 text

Distroless

Slide 42

Slide 42 text

Docker Content Trust

Slide 43

Slide 43 text

Docker Content Trust

Slide 44

Slide 44 text

Docker Content Trust

Slide 45

Slide 45 text

DockerFiles

Slide 46

Slide 46 text

Docker Registry

Slide 47

Slide 47 text

Docker Registry https://hub.docker.com/_/registry

Slide 48

Slide 48 text

Docker Registry

Slide 49

Slide 49 text

Docker Registry

Slide 50

Slide 50 text

Docker Registry

Slide 51

Slide 51 text

Docker Bench for Security https://hub.docker.com/r/docker/docker-bench-security

Slide 52

Slide 52 text

Docker Bench for Security docker run -it --net host --pid host --userns host --cap-add audit_control \ -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \ -v /var/lib:/var/lib \ -v /var/run/docker.sock:/var/run/docker.sock \ -v /usr/lib/systemd:/usr/lib/systemd \ -v /etc:/etc --label docker_bench_security \ docker/docker-bench-security

Slide 53

Slide 53 text

Benchmarks https://www.cisecurity.org/cis-benchmarks/

Slide 54

Slide 54 text

Docker Bench for Security ● La configuración del host ● La configuración del Daemon Docker ● Los archivos de configuración de Docker Daemon ● Contenedor de imágenes y archivos de compilación ● Contenedor en tiempo de ejecución ● Operaciones de seguridad de Docker

Slide 55

Slide 55 text

Docker Bench for Security

Slide 56

Slide 56 text

Docker Bench for Security

Slide 57

Slide 57 text

Docker Bench for Security

Slide 58

Slide 58 text

Kubebench https://github.com/aquasecurity/kube-bench

Slide 59

Slide 59 text

Kubebench

Slide 60

Slide 60 text

Kubebench

Slide 61

Slide 61 text

Monitorización en contenedores Docker

Slide 62

Slide 62 text

Monitorización de contenedores docker docker stats [OPTIONS] [CONTAINER...]

Slide 63

Slide 63 text

Monitorización de contenedores docker curl -s http://localhost:2375/v1.12/containers //stats

Slide 64

Slide 64 text

Monitorización de contenedores docker

Slide 65

Slide 65 text

Monitorización de contenedores docker https://github.com/google/cadvisor

Slide 66

Slide 66 text

Monitorización de contenedores docker

Slide 67

Slide 67 text

Monitorización de contenedores docker

Slide 68

Slide 68 text

Monitorización de contenedores docker

Slide 69

Slide 69 text

Monitorización de contenedores docker

Slide 70

Slide 70 text

Monitorización de contenedores docker

Slide 71

Slide 71 text

Monitorización de contenedores docker

Slide 72

Slide 72 text

Monitorización de contenedores docker

Slide 73

Slide 73 text

Monitorización de contenedores docker

Slide 74

Slide 74 text

Monitorización de contenedores docker

Slide 75

Slide 75 text

Monitorización de contenedores docker https://www.katacoda.com/portainer/scenarios/deploying-to-swarm

Slide 76

Slide 76 text

Monitorización de contenedores docker

Slide 77

Slide 77 text

Sysdig

Slide 78

Slide 78 text

Sysdig falco

Slide 79

Slide 79 text

Sysdig falco

Slide 80

Slide 80 text

Sysdig falco

Slide 81

Slide 81 text

Sysdig falco

Slide 82

Slide 82 text

Csysdig

Slide 83

Slide 83 text

Seccomp docker info | grep seccomp grep SECCOMP /boot/config-$(uname -r)

Slide 84

Slide 84 text

Seccomp https://github.com/docker/labs/tree/master/security/seccomp/ seccomp-profiles docker container run -it --rm --security-opt seccomp=.json alpine sh

Slide 85

Slide 85 text

Seccomp

Slide 86

Slide 86 text

Seccomp

Slide 87

Slide 87 text

Seccomp https://github.com/antitree/syscall2seccomp

Slide 88

Slide 88 text

Auditorías sobre imágenes y vulnerabilidades

Slide 89

Slide 89 text

Container image scanning ● Comprobar paquetes de software, binarios, librerías, sistemas operativos y sus vulnerabilidades ● Analizar dockerfile y metadatos ● Políticas de usuario: blacklist, no permitir imágenes con determinado software

Slide 90

Slide 90 text

Container image scanning

Slide 91

Slide 91 text

Docker Security Scanning

Slide 92

Slide 92 text

Docker Security Scanning

Slide 93

Slide 93 text

Clair Scanner Quay.io registry

Slide 94

Slide 94 text

Clair Scanner Databases Quay.io registry

Slide 95

Slide 95 text

Clair Scanner Quay.io registry

Slide 96

Slide 96 text

Clair Scanner Quay.io registry # Descarga e instalación de la herramienta $ git clone https://github.com/hxquangnhat/clair-analyze-local-images. git $ cd clair-analyze-local-images/ $ docker-compose up -d # Análisis imagen Docker $ docker exec clair_clair analyzer

Slide 97

Slide 97 text

Clair Scanner Quay.io registry

Slide 98

Slide 98 text

Clair Scanner Quay.io registry $ docker exec clair_clair analyzer

Slide 99

Slide 99 text

Clair Scanner Quay.io registry

Slide 100

Slide 100 text

Quay.io registry

Slide 101

Slide 101 text

Quay.io registry

Slide 102

Slide 102 text

Quay.io registry

Slide 103

Slide 103 text

Quay.io registry

Slide 104

Slide 104 text

Anchore engine

Slide 105

Slide 105 text

Anchore engine https://github.com/anchore/anchore-engine

Slide 106

Slide 106 text

Anchore engine

Slide 107

Slide 107 text

Anchore cli ● pip install anchorecli ● git clone https://github.com/anchore/anchore-cli cd anchore-cli pip install --user --upgrade . ● python setup.py install

Slide 108

Slide 108 text

Anchore cli

Slide 109

Slide 109 text

Anchore cli # Disponibilizar una imagen a Anchore $ [docker run anchore-cli] anchore-cli image add # Visualizar contenido de la imagen $ anchore-cli image content os # Analizar contenido de la imagen $ anchore-cli image content os # Evaluar en base al cumplimiento de la política $ anchore-cli evaluate check os

Slide 110

Slide 110 text

Anchore cli

Slide 111

Slide 111 text

Anchore open source https://anchore.com/opensource/

Slide 112

Slide 112 text

Anchore slack channel https://communityinviter.com/apps/anchorecommunity/anchore

Slide 113

Slide 113 text

Dagda https://github.com/eliasgranderubio/dagda

Slide 114

Slide 114 text

Dagda https://github.com/eliasgranderubio/dagda

Slide 115

Slide 115 text

Dagda

Slide 116

Slide 116 text

Dagda

Slide 117

Slide 117 text

Dagda

Slide 118

Slide 118 text

NVD https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi ew&query=docker&search_type=all

Slide 119

Slide 119 text

NVD

Slide 120

Slide 120 text

NVD

Slide 121

Slide 121 text

NVD

Slide 122

Slide 122 text

Docker CVE

Slide 123

Slide 123 text

Docker CVE

Slide 124

Slide 124 text

Docker Vulnerabilities

Slide 125

Slide 125 text

Docker Vulnerabilities

Slide 126

Slide 126 text

Amenazas ● Dirty cow exploit: Escalada de privilegios root en un host o contenedor ● Buffer overflow en librerías de Python y Ruby permitiendo la ejecución maliciosa de código ● Vulnerabilidades en glibc ● OpenSSL heap corruption

Slide 127

Slide 127 text

Docker Vulnerabilities CVE-2015-0235 GHOST Buffer Overflow

Slide 128

Slide 128 text

Docker Vulnerabilities CVE-2014-0160 Heartbleed struct { HeartbeatMessageType type; uint16 payload_length; opaque payload[HeartbeatMessage.payload_length]; opaque padding[padding_length]; } HeartbeatMessage

Slide 129

Slide 129 text

Dirty Cow https://dirtycow.ninja/

Slide 130

Slide 130 text

Dirty Cow https://github.com/dirtycow/dirtycow.github.io/ wiki/PoCs

Slide 131

Slide 131 text

Dirty Cow https://github.com/Alpha-Cybersecurity/dirtyc 0w-docker

Slide 132

Slide 132 text

Dirty Cow

Slide 133

Slide 133 text

Dirty Cow execution

Slide 134

Slide 134 text

Prevent DirtyCow with apparmor

Slide 135

Slide 135 text

Dirty Cow https://security-tracker.debian.org/tracker/CVE-2016-5195

Slide 136

Slide 136 text

Vulnerabilidad en imágenes alpine https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5021

Slide 137

Slide 137 text

Vulnerabilidad en imágenes alpine

Slide 138

Slide 138 text

Vulnerabilidad en imágenes alpine

Slide 139

Slide 139 text

Vulnerabilidad en imágenes alpine

Slide 140

Slide 140 text

Soluciones enterprise

Slide 141

Slide 141 text

Soluciones enterprise

Slide 142

Slide 142 text

Soluciones enterprise https://www.twistlock.com/labs/

Slide 143

Slide 143 text

Soluciones enterprise

Slide 144

Slide 144 text

Soluciones enterprise

Slide 145

Slide 145 text

Formación https://thesecuritysentinel.es/curso/hcds-docker-secdevops/