Cómo utilizar Docker Bench for Security para auditar sus implementaciones de contenedores


Docker Bench for Protection es una forma sencilla de verificar las mejores prácticas comunes en torno a las implementaciones de Docker en producción. Jack Wallen le muestra cómo utilizar esta herramienta.

docker.jpg

Imagen: Docker

Uno de los mayores problemas relacionados con la implementación de contenedores es la seguridad. Este es un gran problema porque hay muchas partes móviles que deben revisarse. Es posible que tenga sus manifiestos de contenedores perfectamente seguros, pero ¿qué pasa con su host? O tal vez su host es sólido, pero sus archivos YAML están plagados de agujeros de seguridad.

¿A qué te dedicas? ¿Pasar horas (o días) revisando todo para garantizar que esas implementaciones sean seguras? Podrías hacer eso. O puede hacer uso de las herramientas disponibles para usted. Una de esas herramientas es un contenedor prediseñado, llamado Docker Bench for Stability: hace un gran trabajo al auditar el host de su contenedor y las implementaciones que se están ejecutando actualmente. A diferencia de muchas de estas herramientas, Docker Bench for Safety es increíblemente fácil de usar.

Docker Bench for Stability audita lo siguiente:

  • Configuración normal

  • Configuración específica de Linux HostAs

  • Configuración del demonio de Docker

  • Archivos de configuración del demonio de Docker

  • Imágenes de contenedor y archivo de compilación

  • Container Runtime

  • Operaciones de seguridad de Docker

  • Configuración de Docker Swarm

  • Configuración de Docker Organization

  • Configuración de registro de confianza de Docker

Déjame mostrarte cómo se hace esto.

VER: Guía de seguridad de Kubernetes (PDF gratuito) (TechRepublic)

Lo que necesitarás

Lo único que necesitará para que esto funcione es una instancia en ejecución de Docker en su servidor y un usuario asociado con el grupo de Docker que puede ejecutar comandos de Docker.

Haré una demostración en Ubuntu Server 20.04, pero la herramienta funcionará en cualquier plataforma que admita Docker.

Cómo conseguir Docker Bench

Lo primero que debemos hacer es clonar la herramienta de GitHub. Si aún no tiene git instalado, hágalo con un comando como:

sudo apt-get set up git -y

Clone Docker Bench con el comando:

git clone https://github.com/docker/docker-bench-stability.git

Cambie al directorio recién creado con el comando:

cd docker-bench-stability

Cómo configurar el demonio de Docker

Antes de ejecutar la auditoría, necesitamos crear un archivo de configuración de demonio de Docker. Crea el archivo con el comando:

sudo nano /and so on/docker/daemon.json

En ese archivo, pegue lo siguiente:

    "icc": bogus,
    "userns-remap": "default",
    "dwell-restore": correct,
    "userland-proxy": untrue,
    "no-new-privileges": genuine

Guarde y cierre el archivo.

Cómo instalar y configurar auditd

Ahora necesitamos instalar auditd con el comando:

sudo apt-get install auditd -y

Cuando se finish la instalación, abra el archivo de reglas auditadas con el comando:

sudo nano /and so forth/audit/audit.guidelines

En la parte inferior del archivo, pegue lo siguiente:

-w /usr/bin/docker -p wa
-w /var/lib/docker -p wa
-w /and so on/docker -p wa
-w /lib/systemd/method/docker.assistance -p wa
-w /lib/systemd/program/docker.socket -p wa
-w /and so forth/default/docker -p wa
-w /and many others/docker/daemon.json -p wa
-w /usr/bin/docker-containerd -p wa
-w /usr/bin/docker-runc -p wa

Guarde y cierre el archivo.

Reinicie auditd con el comando:

sudo systemctl restart auditd

Finalmente, reinicie el demonio de Docker con el comando:

sudo systemctl restart docker

Cómo ejecutar la auditoría

Mientras esté en el directorio docker-bench-protection, inicie la auditoría con el comando:

./docker-bench-protection.sh

El comando anterior ejecutará la auditoría y comenzará a enumerar los detalles con:

Cuando finalice la auditoría, debe revisar la salida y abordar todo lo que aparece como Advertencia, como mínimo (Figura A). Incluso puede haber algunos mensajes de información o notas de los que deba ocuparse.

Figura A

dockerbencha.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/04/08/a81f375a-8176-4866-b338-69e4125896b4/resize/770x/5b68b60c71bd485469a5461763ba3ee0/dockerbencha.jpg

La salida de Docker Bench deja muy claro lo que necesita arreglar.

El resultado que reciba dependerá de la configuración de su host y los contenedores que haya implementado. Sin embargo, su objetivo debe ser corregir todas las Advertencias, como mínimo. Después de abordar estos problemas, asegúrese de volver a ejecutar la auditoría. Haga esto hasta que ya no vea ninguna etiqueta de advertencia en la lista.

Y eso es todo lo que hay que hacer para usar Docker Bench for Protection para auditar su host y contenedores.

Suscríbase a Cómo hacer que la tecnología funcione en YouTube de TechRepublic para obtener los últimos consejos tecnológicos para profesionales de negocios de Jack Wallen.

Ver también



Enlace a la noticia first