Hoe het Verified Publisher-programma van Docker uw beveiliging helpt

0
160

Met Docker wordt het draaien van containers een fluitje van een cent. Maar hoe weet u of een container die uit Docker Hub is gehaald, achterdeurtjes of malware bevat? Docker's Verified Publisher-initiatief pakt die zorg aan.

Popularity maakt je een doelwit

Cybercriminelen willen niets liever dan gemakkelijke routes naar slachtoffers’ machines en, onnodig te zeggen, hoe meer hoe beter. Als een product of platform enorm populair wordt, kun je er zeker van zijn dat het de aandacht trekt van de bedreigingsactoren die zullen proberen dat succes in hun voordeel te gebruiken.

Docker is een wereldleider in containerisatie. Voor veel mensen is het de eerste naam die in je opkomt als containers worden genoemd. Met containers kunnen ontwikkelaars een toepassing en de bijbehorende afhankelijkheden in een op zichzelf staand pakket, een afbeelding genaamd, inpakken. Dit maakt het distribueren van het pakket gemakkelijker omdat alles wat nodig is om de toepassing uit te voeren zich in de afbeelding bevindt. Er zijn nooit onvervulde afhankelijkheden, ongeacht op welke machine de container draait.

Containers kunnen worden gezien als minimalistische virtuele machines. Als ze een applicatie leveren, hebben ze geen besturingssysteem in de container nodig. Ze hebben alleen de afhankelijkheden van de toepassing nodig. Dit verkleint de grootte van de afbeeldingen en geeft prestatieverbeteringen wanneer de container wordt uitgevoerd. De inhoud van de container draait op het besturingssysteem van de hostcomputer, geïsoleerd van andere processen.

Omdat er minder dingen in een container zitten die resources en rekenkracht nodig hebben in vergelijking met een virtuele machine, kunnen ze op meer bescheiden hardware draaien. Dat betekent dat je er meer op één stuk hardware kunt laten draaien, met goede prestaties, dan op traditionele virtuele machines. Zelfs containers die zijn gebouwd om verschillende Linux-distributies te bieden, zijn slechts momentopnamen van het bestandssysteem van de distributie. Ze worden uitgevoerd met behulp van de kernel van de hostcomputer.

Advertentie

Veel van de technologie en toepassingen in containers zijn open source. Dit betekent dat ze vrijelijk door iedereen kunnen worden verspreid en gebruikt. Met Docker-containers kunt u de stelregel aannemen dat servers moeten worden behandeld als vee, niet als huisdieren. De voordelen van containers hebben niet alleen geleid tot de wijdverbreide acceptatie van continue integratie en continue implementatie (CI/CD), ze hebben het ook mogelijk gemaakt.

Mirantis kocht Docker in november 2019. Destijds werd Docker Enterprise gebruikt door 30% van de Fortune 100 en 20% van de Global 500. Vandaag de dag bedient de Docker Hub een verbluffende 13 miljard image pulls & #8212;containerdownloads& #8212;per maand van bijna 8 miljoen repositories.

Die cijfers zijn veel te indrukwekkend voor cybercriminelen om te negeren. Wat is er eenvoudiger dan gecompromitteerde en kwaadaardige afbeeldingen te maken, ze te uploaden naar Docker Hub en te wachten tot nietsvermoedende gebruikers ze downloaden en gebruiken?

GERELATEERD: Wat doet Docker Doen, en wanneer moet je het gebruiken?

Het probleem met onveilige afbeeldingen

Er is een inherent probleem met het ophalen van afbeeldingen uit een repository en het gebruiken ervan. U weet niet of ze zijn gemaakt met het oog op beveiliging, of dat de softwarecomponenten in de container de huidige versies zijn en nog steeds binnen hun ondersteunde levenscyclus vallen. Hebben ze alle beschikbare bugfixes en beveiligingspatches op hen toegepast? Of erger nog, bevatten ze kwaadaardige code die opzettelijk is geplaatst door dreigingsactoren?

Docker kampt met een soortgelijk probleem als Apple en Google. Apple en Google moeten proberen de App Store en Google Play te controleren op kwaadaardige apps. Docker pakt het iets anders aan. Docker verwijdert container-images die schadelijk blijken te zijn. Het biedt ook een verificatieschema voor containeruitgevers.

In het verleden heeft Docker een verzameling afbeeldingen verwijderd die waren geüpload door het Docker-account docker123321. Er waren ongeveer 17 containers van dit ene account die kwaadaardige code bevatten. De afbeeldingen werden aangeboden als onschuldige containers die apps zoals Apache Tomcat en MySQL ondersteunden, maar daarnaast bevatten de containers code die omgekeerde SSH-shells aan de aanvallers verschafte, waardoor ze toegang hadden tot de containers wanneer het hun uitkwam.

Advertentie< br>

Er werden Python reverse shells en Bash reverse shells gevonden, en één container bevatte zelfs de SSH-sleutel van de dreigingsactor. Dit gaf hen toegang op afstand zonder dat er een wachtwoord nodig was. Andere containers werden gevonden om cryptomining-software te hosten. Dit betekende dat de containers van tevoren werden gecryptjacked. De nietsvermoedende gebruiker zou betalen voor de elektriciteit en de verwerkingskracht verliezen om de cryptomining van Monero door de cybercrimineel te financieren.

Deze aanvallen zijn een combinatie van Trojaanse paarden en aanvallen op de toeleveringsketen.

GERELATEERD: Hoe de softwareondertekening van de Linux Foundation aanvallen op de toeleveringsketen bestrijdt

Het Verified Publisher-programma

Docker biedt al een verzameling containerafbeeldingen die bekend staan ​​als de officiële afbeeldingen. Deze afbeeldingen zijn een samengestelde set containers die zijn beoordeeld door een speciaal Docker-team.

Het team werkt samen met de upstream-beheerders en leveranciers van de software in de containers. De officiële afbeeldingen zijn voorbeelden van best practices voor Docker-containers, inclusief duidelijke documentatie en het toepassen van beveiligingspatches. Officiële Docker-afbeeldingen zijn sinds kort beschikbaar voor een breder publiek via meer repositories.

Het Verified Publisher-initiatief biedt toegang tot Docker-content die zich onderscheidt door afkomstig te zijn van bekende, geverifieerde en vertrouwde providers. Er zijn meer dan 200 softwareleveranciers die zich hebben aangemeld en geratificeerd door de regeling, en het aantal stijgt snel. Afbeeldingen van geverifieerde uitgevers kunnen met veel vertrouwen worden gebruikt in bedrijfskritieke applicaties en infrastructuur.

De programma's Verified Publisher en Official Images zijn complementaire schema's. Veel van de containerafbeeldingen die door geverifieerde uitgevers worden geleverd, zijn ook officiële afbeeldingen. Met een paar selectievakjes op de Docker Hub Explore-pagina kunt u specificeren dat de zoekresultaten moeten worden beperkt tot officiële afbeeldingen, afbeeldingen geleverd door geverifieerde uitgevers of beide.

Een welkomstinitiatief

Advertentie

De aanvallen van SolarWinds en CodeCov hebben laten zien hoe effectief supply chain-aanvallen kunnen zijn. Het aanvallen van een centraal punt dat vervolgens de stroomafwaartse consumenten van producten en diensten in gevaar brengt, is een efficiënte distributiemethode. Gecompromitteerde containers zijn een perfecte manier om dit soort aanvallen te verspreiden. Het speelt in op de overtuiging dat bepaalde informatiebronnen en software inherent veilig zijn en vertrouwd kunnen worden. En over het algemeen is dat het geval. Maar zoals we hebben gezien, is het een grote veronderstelling.

Het is van vitaal belang dat organisaties duidelijk zijn over de herkomst en integriteit van containers die ze terughalen uit repositories. Officiële afbeeldingen en geverifieerde uitgevers kunnen worden gezien als een vorm van certificering die het gemakkelijker maakt om direct uit de doos te weten wat kan worden vertrouwd.

Als u Docker-afbeeldingen maakt die openbaar beschikbaar zijn, en u denkt dat het voordelig voor u zal zijn om een ​​Geverifieerde Uitgever te worden, kunt u het aanvraagproces voor deelname aan het schema starten op de webpagina van de Geverifieerde Uitgever.

GERELATEERD: Codecov Gehackt! Wat u nu moet doen als u Codecov gebruikt