1.31M
Category: softwaresoftware

Харденинг Docker

1.

Харденинг Docker
Алексей Федулаев

2.

$whoami
Алексей Федулаев
DevSecOps Team Lead
Wildberries
Специалист по контейнерной безопасности
Автор канала @ever_secure

3.

Какие проблемы могут быть с Docker?

4.

Известные уязвимости Docker
•CVE-2019-15752
•повышение привилегий в windows

5.

Известные уязвимости Docker
•CVE-2019-15752
•повышение привилегий в windows
•CVE-2019-14271
•внедрение кода через glibc

6.

Известные уязвимости Docker
•CVE-2016-5195 (Dirty COW)
•Повышение привилегий через Race Condition в цикле
COW

7.

Известные уязвимости Docker
•CVE-2016-5195 (Dirty COW)
•Повышение привилегий через Race Condition в цикле COW
•CVE-2014-6271 (shellshock)
•Выполнение bash команд при исполнении CGI–скриптов

8.

Используйте последние версии Docker и
ОС

9.

Вредоносный образ

10.

Проблемы с root

11.

Capabilities

12.

AppArmor

13.

Privileged

14.

privileged
•Дает доступ ко всем capabilities
•Отключает профиль Seccomp
•Отключает профиль AppArmor/SELinux
•Дает доступ ко всем устройствам из /dev
•Файлы ядра монтируются не RO
•Часть псевдодиректории /proc больше не монтируется
RO

15.

Dockersock

16.

17.

LotL

18.

19.

Подробнее про LotL
можно посмотреть в докладе, выложен в канале
Подпишись!

20.

no-new-privileges

21.

Limits

22.

Инструменты

23.

Hadolint

24.

Trivy

25.

Dockle

26.

KICS

27.

Спасибо за внимание!
English     Русский Rules