Infrastruktur im Wandel

IT – Kompetent - Unabhängig
Infrastruktur im Wandel
IT-Sicherheit im Kontext von
Container-Virtualisierung
3. TAG DER IT-SICHERHEIT
Container Virtualisierung
IT – Kompetent - Unabhängig
„Erweiterte“ Chroot-Umgebung, bekannte Produkte:

linux vserver

OpenVZ / virtuozzo

LXC / docker
Alle Open Source
Projektseite: docker.io
Linux: In Standard-Distributionen enthalten:
apt-get install docker
Windows: basierend auf Windows Nano-Server und Hyper-V (nur 8 Images vorhanden)
3. TAG DER IT-SICHERHEIT
Beispiel
Univention Corporate Server (UCS)
bereits Dockerisierte Anwendungen:

ownCloud

OpenProject

SuiteCRM

Dudle

Horde

WildFly
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Was ist
ohne Virtualisierung
APP
APP
APP
LIBS
FS/NET
HOST KERNEL
HARDWARE / VM
3. TAG DER IT-SICHERHEIT
?
IT – Kompetent - Unabhängig
Was ist
ohne Virtualisierung
APP
APP
APP
LIBS
FS/NET
?
OS Virtualisierung
APP
APP
APP
LIBS
LIBS
LIBS
GUEST GUEST GUEST
KERNEL KERNEL KERNEL
HYPERVISOR
HOST KERNEL
HOST KERNEL
HARDWARE / VM
HARDWARE
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Was ist
ohne Virtualisierung
APP
APP
APP
LIBS
FS/NET
?
OS Virtualisierung
Container Virtualisierung
APP
APP
APP
APP
APP
APP
LIBS
LIBS
LIBS
LIBS
LIBS
LIBS
FS/NET
FS/NET
FS/NET
GUEST GUEST GUEST
KERNEL KERNEL KERNEL
HYPERVISOR
HOST KERNEL
CONTAINER /
HOST KERNEL
HARDWARE
HARDWARE / VM
HOST KERNEL
HARDWARE / VM
IT – Kompetent - Unabhängig
3. TAG DER IT-SICHERHEIT
Was ist
ohne Virtualisierung
APP
APP
APP
LIBS
FS/NET
?
OS Virtualisierung
Container Virtualisierung
APP
APP
APP
APP
APP
APP
LIBS
LIBS
LIBS
LIBS
LIBS
LIBS
FS/NET
FS/NET
FS/NET
GUEST GUEST GUEST
KERNEL KERNEL KERNEL
HYPERVISOR
HOST KERNEL
CONTAINER /
HOST KERNEL
HARDWARE
HARDWARE / VM
HOST KERNEL
HARDWARE / VM
IT – Kompetent - Unabhängig
3. TAG DER IT-SICHERHEIT
Was ist
OS Virtualisierung
APP
APP
APP
APP
Hersteller
Hersteller
ohne Virtualisierung
APP
Kernel
Kernel
Hersteller
Hersteller
LIBS
FS/NET
?
APP
APP
APP
APP
APP
LIBS
LIBS
LIBS
LIBS
LIBS
LIBS
FS/NET
FS/NET
FS/NET
GUEST GUEST GUEST
KERNEL KERNEL KERNEL
HOST KERNEL
CONTAINER /
HOST KERNEL
HARDWARE
HARDWARE / VM
HOST KERNEL
HW
HW
Herst.
Herst.
Container Virtualisierung
APP
HYPERVISOR
HARDWARE / VM
IT – Kompetent - Unabhängig
3. TAG DER IT-SICHERHEIT
Was ist
APP
APP
LIBS
LIBS
LIBS
GUEST GUEST GUEST
KERNEL KERNEL KERNEL
HYPERVISOR
HOST KERNEL
HARDWARE / VM
HW
HW
Herst.
Herst.
HOST KERNEL
HARDWARE
3. TAG DER IT-SICHERHEIT
APP
APP
Hersteller
Hersteller
APP
Kernel
Kernel
Hersteller
Hersteller
Kernel
Kernel
Hersteller
Hersteller
LIBS
FS/NET
Container Virtualisierung
VT/OS
HW
VT/OS
HW
Hersteller
Herst. Hersteller
Herst.
APP
APP
APP
Hersteller
Hersteller
APP
IT – Kompetent - Unabhängig
OS Virtualisierung
ohne Virtualisierung
APP
?
APP
APP
APP
LIBS
LIBS
LIBS
FS/NET
FS/NET
FS/NET
CONTAINER /
HOST KERNEL
HARDWARE / VM
LIBS
LIBS
GUEST GUEST GUEST
KERNEL KERNEL KERNEL
HYPERVISOR
HOST KERNEL
HARDWARE / VM
HW
HW
Herst.
Herst.
HOST KERNEL
HARDWARE
3. TAG DER IT-SICHERHEIT
APP
APP
LIBS
LIBS
LIBS
FS/NET
FS/NET
FS/NET
APP
APP
Hersteller
Hersteller
LIBS
APP
!!!!
APP
Kernel
Kernel
Hersteller
Hersteller
APP
APP
APP
Hersteller
Hersteller
APP
Kernel
Kernel
Hersteller
Hersteller
Kernel
Kernel
Hersteller
Hersteller
LIBS
FS/NET
Container Virtualisierung
VT/OS
HW
VT/OS
HW
Hersteller
Herst. Hersteller
Herst.
APP
APP
APP
Hersteller
Hersteller
APP
IT – Kompetent - Unabhängig
OS Virtualisierung
ohne Virtualisierung
APP
?
CONTAINER /
HOST KERNEL
HARDWARE / VM
HW
HW
Herst.
Herst.
Was ist
Angriffsszenarien
IT – Kompetent - Unabhängig
PORT
I FF
R
G
AN
3. TAG DER IT-SICHERHEIT
SERVICE
CONTAINER
Angriffsszenarien
IT – Kompetent - Unabhängig
PORT
I FF
R
G
AN
3. TAG DER IT-SICHERHEIT
SERVICE
CONTAINER
Angriffsszenarien
IT – Kompetent - Unabhängig
PORT
SERVICE
3. TAG DER IT-SICHERHEIT
CONTAINER
Angriffsszenarien
CONTAINER
ANGRIFF
RAM
FS
NETWORK
KERNEL
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
CONTAINER
Angriffsszenarien
CONTAINER
CONTAINER
IT – Kompetent - Unabhängig
CONTAINER
OS BETRIEBSSYSTEM
3. TAG DER IT-SICHERHEIT
Provisionierung
IT – Kompetent - Unabhängig
Variante A: Vollständig herunter laden:

index.docker.io

hub.docker.com

store.docker.com
Variante B: Aus Host- (oder anderem) System generieren:

docker build
Nur wer die Open-Source-Komponenten und -Versionen
kennt, kann beurteilen, ob Sicherheitsschwachstellen
vorhanden sind.
3. TAG DER IT-SICHERHEIT
Sicherheit
Wichtigste Faktoren:

Minimale Systeme

Apparmor und SELinux

Definierte Umgebung

Signierte Images
https://blogs.vmware.com/security/2015/05/vmware-releases-securitycompliance-solution-docker-containers.html
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Sicherheit (Details)

Seccomp (Secure Computing Mode): Whitelist von System- Calls

Control Groups (cgroups): Ressourcenbeschränkung (gegen DoS)

Capabilities
chown, dac_override, fowner, kill, setgid, setuid, setpcap,
net_bind_service, net_raw, sys_chroot,
mknod, setfcap, audit_write fsetid
Einschränkungen: Privelegierte Container (z.B. cap net_admin)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Sicherheit (Details)

IT – Kompetent - Unabhängig
Namespaces

UTS (Systemidentifikation): Eigener Host- und Domänennamen

IPC (Interprozess-Kommunikation): unabhängige IPC-Mechanismen

PID (Prozess-IDs): eigener Raum für die Prozess-IDs


MNT (Mountpoints des Dateisystems): Prozesse in unterschiedlichen
Containern haben einen individuellen "View" auf das Dateisystem
NET (Netzwerkressourcen): Jeder Container hat eigenen
Netzwerkstack, Netzwerkgerät, IP-Adresse und Routing-Tabelle.
3. TAG DER IT-SICHERHEIT
Matrix Vor- und Nachteile

Container-Virtualisierung vs. ohne Virtualisierung

Vorteil:


Bessere Abschottung der Services
Nachteil:

Höhere Komplexität

höherer Speicher-Bedarf

Maintenance der Bibliotheken schwierig
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Matrix Vor- und Nachteile

OS-Virtualisierung vs. ohne Virtualisierung

Vorteil:


Bessere Abschottung der Services
Nachteil:
●
Höherer Ressourcenbedarf
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Matrix Vor- und Nachteile

Container- vs. OS-Virtualisierung


Vorteil:

Einfachere Provisionierung

Skaliert im allgemeinen besser

weniger Ressourcenbedarf
Nachteil:
●
Maintenance der Bibliotheken schwierig
●
Schlechtere Abschottung der Container
●
Gemeinsamer Kernel (Kernel-Update aufwändig)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Sicherheit (Fazit)
●
Vordergründig: Höhere Sicherheit
●
Im Detail:
–
Maintenance unklar
–
Keine richtige Virtualisierung (gemeinsamer Kernel / FS / ...)
–
hohe Komplexität
IT – Kompetent - Unabhängig
Vieles noch unklar, aber Lösungsansätze sind vorhanden. Docker hat das
Potenzial, sich zur Standard-Containertechnik zu entwickeln.
Augenmaß, Differenzierte Betrachtung und Abwarten!
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Vielen Dank für Ihre Aufmerksamkeit !
Andreas Niederländer
[email protected]
3. TAG DER IT-SICHERHEIT

Download Report