Como o programa de editor verificado do Docker ajuda sua segurança

O Docker torna a rotação de contêineres uma brisa. Mas como você sabe se um contêiner retirado do Docker Hub contém backdoors ou malware? A iniciativa de Editor verificado da Docker aborda exatamente essa preocupação.

A popularidade torna você um alvo

Os cibercriminosos gostam de nada mais do que rotas fáceis para as vítimas &’ máquinas e, nem é preciso dizer, quanto mais, melhor. Se um produto ou plataforma se tornar extremamente popular, você pode apostar que ele chama a atenção dos atores da ameaça, que tentarão tirar proveito desse sucesso.

Docker é líder mundial em conteinerização. Para muitas pessoas, é o primeiro nome que vem à mente quando os contêineres são mencionados. Os contêineres permitem que os desenvolvedores encapsulem um aplicativo e suas dependências em um pacote independente chamado imagem. Isso torna a distribuição do pacote mais fácil porque tudo o que é necessário para executar o aplicativo está contido na imagem. Nunca há dependências não atendidas, independentemente da máquina em que o contêiner está sendo executado.

Os contêineres podem ser considerados máquinas virtuais minimalistas. Se eles estiverem fornecendo um aplicativo, não precisam de um sistema operacional dentro do contêiner. Eles só precisam das dependências do aplicativo. Isso reduz o tamanho das imagens e aumenta o desempenho quando o contêiner está em execução. O conteúdo do contêiner é executado no sistema operacional do computador host, isolado de outros processos.

Como há menos coisas dentro de um contêiner que requerem recursos e poder computacional em comparação com uma máquina virtual, eles podem ser executados em um hardware mais modesto. Isso significa que você pode ter mais deles em execução em uma única peça de hardware, com bom desempenho, do que em máquinas virtuais tradicionais. Mesmo contêineres construídos para fornecer diferentes distribuições Linux são apenas instantâneos do sistema de arquivos da distribuição. Eles são executados usando o kernel do computador host.

Muitas das tecnologias e aplicativos dentro dos contêineres são de código aberto. Isso significa que eles podem ser distribuídos gratuitamente e usados ​​por qualquer pessoa. Os contêineres Docker permitem que você adote a máxima de que os servidores devem ser tratados como gado, não como animais de estimação. Os benefícios dos contêineres não apenas impulsionaram a ampla adoção da integração e implantação contínuas (CI / CD), mas também permitiram isso.

A Mirantis comprou o Docker em novembro de 2019. Naquela época, o Docker Enterprise era usado por 30% da Fortune 100 e 20% da Global 500. Hoje, os serviços Docker Hub uma imagem alucinante de 13 bilhões extrai — downloads de contêineres — por mês de quase 8 milhões de repositórios.

Esses números são impressionantes demais para que os cibercriminosos os ignorem. O que poderia ser mais simples do que criar imagens comprometidas e maliciosas, enviá-las ao Docker Hub e esperar que usuários desavisados ​​as baixem e usem?

RELACIONADO: o que o Docker faz e quando você deve usá-lo?

O problema com imagens inseguras

Há um problema inerente em extrair imagens de um repositório e usá-las. Você não sabe se eles foram criados com a segurança em mente ou se os componentes de software dentro do contêiner são as versões atuais e ainda estão dentro do ciclo de vida compatível. Eles tiveram todas as correções de bugs disponíveis e patches de segurança aplicados a eles? Ou pior, eles contêm código malicioso que foi deliberadamente plantado por agentes de ameaças?

O Docker enfrenta um problema semelhante ao da Apple e do Google. A Apple e o Google precisam tentar policiar a App Store e o Google Play em busca de aplicativos maliciosos. O Docker está adotando uma abordagem um pouco diferente. O Docker remove imagens de contêiner que são consideradas maliciosas. Ele também fornece um esquema de verificação para editores de contêineres.

No passado, o Docker removia uma coleção de imagens que eram carregadas pela conta docker123321 do Docker. Havia cerca de 17 contêineres dessa única conta que continham código malicioso. As imagens foram oferecidas como contêineres inocentes com suporte a aplicativos como Apache Tomcat e MySQL, mas, além disso, os contêineres continham código que fornecia shells SSH reversos aos invasores, permitindo que eles acessassem os contêineres sempre que lhes fosse conveniente.

Os shells reversos do Python e os shells reversos do Bash foram encontrados, e um contêiner ainda continha a chave SSH do ator da ameaça. Isso deu a eles acesso remoto sem a necessidade de uma senha. Outros recipientes foram encontrados para hospedar software de criptominação. Isso significava que os contêineres foram criptojacked antes do tempo. O usuário desavisado estaria pagando pela eletricidade e perdendo a capacidade de processamento para financiar a criptominação Monero do cibercriminoso.

Esses ataques são uma mistura de cavalos de Tróia e ataques à cadeia de suprimentos.

RELACIONADO: Como o Software Signing da Linux Foundation combate ataques à cadeia de suprimentos

O programa de editor verificado

O Docker já oferece uma coleção de imagens de contêiner conhecidas como Imagens oficiais. Essas imagens são um conjunto selecionado de contêineres que foram revisados ​​por uma equipe dedicada do Docker.

A equipe colabora com os mantenedores e fornecedores upstream do software nos contêineres. As imagens oficiais são exemplos das melhores práticas de contêiner do Docker, incluindo documentação clara e a aplicação de patches de segurança. As imagens oficiais do Docker estão recentemente disponíveis para um público mais amplo por meio de mais repositórios.

A iniciativa Editora verificada fornece acesso a conteúdo Docker que é diferenciado por vir de fornecedores conhecidos, verificados e confiáveis. Existem mais de 200 fornecedores de software inscritos e ratificados pelo esquema, e os números estão aumentando rapidamente. Imagens de editores verificados podem ser usadas com alta confiança em aplicativos e infraestrutura de missão crítica.

Os programas Editora verificada e Imagens oficiais são esquemas complementares. Muitas das imagens de contêiner fornecidas por Editores verificados também serão imagens oficiais. Um par de caixas de seleção na página de exploração do Docker Hub permite que você especifique se os resultados da pesquisa são restritos para incluir imagens oficiais, imagens fornecidas por editores verificados ou ambos.

Uma iniciativa de boas-vindas

Os ataques SolarWinds e CodeCov mostraram como os ataques à cadeia de suprimentos podem ser eficazes. Atacar um ponto central que compromete os consumidores finais de produtos e serviços é um método de distribuição eficiente. Os contêineres comprometidos são uma maneira perfeita de distribuir esse tipo de ataque. Ele acredita que certas fontes de informação e software são inerentemente seguras e podem ser confiáveis. E, geralmente, é esse o caso. Mas, como vimos, é uma grande suposição.

É vital que as organizações tenham clareza sobre a procedência e integridade dos contêineres que retiram dos repositórios. Imagens oficiais e editores verificados podem ser considerados como uma forma de certificação que torna mais fácil saber o que é confiável imediatamente.

Se você fizer imagens do Docker que estão disponíveis publicamente e achar que se tornar um Editor verificado será vantajoso para você, poderá iniciar o processo de inscrição para o esquema na página da web do Editor verificado.

RELACIONADO: Codecov hackeado! O que fazer agora se você usar Codecov