Hvordan forhindre usignerte Docker-bilder fra å bli trukket

Hvordan forhindre usignerte Docker-bilder fra å bli trukket Forsikre deg om at du bare trekker ned signerte Docker-bilder med Content Trust aktivert.

Du har sikkert hørt historiene om ondsinnede Docker-bilder som ble oppdaget i forskjellige depoter. Noen av disse bildene spenner fra bilder som inneholder faktisk skadelig programvare / spyware / ransomeware / etc, til de mindre ondsinnede bildene som inneholder rotkontoer som ikke kan klareres fullt ut. Uansett bør du ikke bruke disse bildene.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Problemet er, hvordan vet man om et bilde inneholder ondsinnet kode? Hva kan du gjøre uten å bygge bilder selv eller gå gjennom den vanskelige prosessen med å skanne enkeltbilder.

Windows 10-sikkerhet: En guide for bedriftsledere (TechRepublic Premium)

Enkelt sagt kan du konfigurere Docker slik at en Docker pull-kommando bare lykkes hvis bildet som blir trukket er signert av skaperen. Dette er selvfølgelig ikke en perfekt løsning, men det vil hindre deg (eller utviklerne dine) i å trekke ned usignerte bilder fra depotene. Disse bildesignaturene tillater klientsiden eller runtime-verifiseringen av integriteten og skaperen av bestemte bilder og bildetagger.

Hvordan dette fungerer er med funksjonen Docker Content Trust som kom til Docker 1.8, og den er faktisk ganske enkel å implementere. Jeg skal demonstrere dette på Ubuntu Server 18.04, men prosessen skal fungere bra på alle plattformer som kjører Docker 1.8 eller nyere.

Hvordan dette fungerer

Når du har aktivert tillit til innhold, hvis du prøver å trekke ned et usignert bilde, får du en feil, og bildet trekker ikke ( figur A ).

Figure A: Pulling an unsigned image is a no-go.

" data-credit="" rel="noopener noreferrer nofollow">

Figur A: Å trekke et usignert bilde er en no-go.

Med Content Trust på plass er de eneste bildene du kan tegne, signert ( figur B ).

Figure B: The official NGINX image pulls down fine.

" data-credit="" rel="noopener noreferrer nofollow">

Figur B: Det offisielle NGINX-bildet trekker fint.

Aktiverer tillit til innhold

Det første du må gjøre er å aktivere tillit til innhold. Du kan gjøre dette på midlertidig basis ved å åpne et terminalvindu og gi kommandoen:

 eksport DOCKER_CONTENT_TRUST = 1 

Når du har gjort det, fungerer Content Trust, og du kan ikke dra ned usignerte bilder. Imidlertid fungerer metoden ovenfor bare i det gjeldende skallet. Så snart du logger ut og logger deg på igjen, vil du kunne trekke ned usignerte bilder uten problemer. For å gjøre dette permanent, åpner du et terminalvindu, gir kommandoen sudo nano / etc / miljø og legger følgende til bunnen av filen:

 DOCKER_CONTENT_TRUST = 1 

Lagre og lukk den filen. Logg av og logg inn så mye du vil, og Content Trust vil fremdeles være aktivert. Docker-trekkommandoene dine vil bare lykkes hvis du trekker ned signerte bilder.

Forbeholdet

Dette er ikke en idiotsikker løsning. Hvorfor? Fordi Docker inkluderer et alternativ som lar deg omgå Content Trust-funksjonen. Si for eksempel at du vil trekke et usignert bilde fra Docker Hub (uten å deaktivere miljøvariabelen som er satt tidligere). Du kan gjøre dette med kommandoen:

 docker pull - delbart innhold-tillit nginx / enhet 

Som du kan se ( figur C ), vil du trekke feil hvis du prøver å trekke dette bildet uten alternativet - avgjørbart-innhold-tillit. Med alternativet lykkes det.

Figure C: Circumventing Content Trust.

" data-credit="" rel="noopener noreferrer nofollow">

Figur C: Omgå innholdstrust.

Et lurt tillegg

Selv om det kan være tilfeller der du vil komme deg rundt Content Trust-funksjonen, er det alltid bra å aktivere den, slik at du bare trekker ned signerte bilder. Det er ikke en perfekt sikkerhetsløsning for Docker, men det er et lite skritt fremover for din containerdistribusjon.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com