Infrastruktur im Wandelikt.saarland/.../16.02.2017/ContainerVirtualisierung_IKU.pdf · 2017. 2....
Transcript of Infrastruktur im Wandelikt.saarland/.../16.02.2017/ContainerVirtualisierung_IKU.pdf · 2017. 2....
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Infrastruktur im WandelIT-Sicherheit im Kontext vonContainer-Virtualisierung
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
„Erweiterte“ Chroot-Umgebung, bekannte Produkte:
linux vserver
OpenVZ / virtuozzo
LXC / docker
Alle Open Source
Projektseite: docker.io
Linux: In Standard-Distributionen enthalten:
apt-get install docker
Windows: basierend auf Windows Nano-Server und Hyper-V (nur 8 Images vorhanden)
Container Virtualisierung
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Univention Corporate Server (UCS)
bereits Dockerisierte Anwendungen:
ownCloud
OpenProject
SuiteCRM
Dudle
Horde
WildFly
Beispiel
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
CONTAINER /HOST KERNEL
LIBS
APP
LIBS
APP
LIBS
APP
FS/NET FS/NET FS/NET
Container Virtualisierung
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
CONTAINER /HOST KERNEL
LIBS
APP
LIBS
APP
LIBS
APP
FS/NET FS/NET FS/NET
Container Virtualisierung
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
CONTAINER /HOST KERNEL
LIBS
APP
LIBS
APP
LIBS
APP
FS/NET FS/NET FS/NET
Container Virtualisierung
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.V
T/O
SH
erst
elle
r
VT/
OS
Her
stel
ler
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
CONTAINER /HOST KERNEL
LIBS
APP
LIBS
APP
LIBS
APP
FS/NET FS/NET FS/NET
Container Virtualisierung
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.V
T/O
SH
erst
elle
r
VT/
OS
Her
stel
ler
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.!!!
!
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
CONTAINER /HOST KERNEL
LIBS
APP
LIBS
APP
LIBS
APP
FS/NET FS/NET FS/NET
Container Virtualisierung
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
CONTAINER
Angriffsszenarien
SERVICE
PORT
ANGRIFF
ANGRIFF
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
CONTAINER
Angriffsszenarien
SERVICE
PORT
ANGRIFF
ANGRIFF
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
CONTAINER
Angriffsszenarien
SERVICE
PORT
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigAngriffsszenarien
CONTAINERCONTAINER
RAM
FS
NETWORK
KERNEL
ANGRIFFANGRIFF
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigAngriffsszenarien
CONTAINERCONTAINER
OS BETRIEBSSYSTEM
CONTAINER
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Variante A: Vollständig herunter laden:
index.docker.io
hub.docker.com
store.docker.com
Variante B: Aus Host- (oder anderem) System generieren:
docker build
Nur wer die Open-Source-Komponenten und -Versionen kennt, kann beurteilen, ob Sicherheitsschwachstellen
vorhanden sind.
Provisionierung
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Wichtigste Faktoren:
Minimale Systeme
Apparmor und SELinux
Definierte Umgebung
Signierte Images
https://blogs.vmware.com/security/2015/05/vmware-releases-security-compliance-solution-docker-containers.html
Sicherheit
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Seccomp (Secure Computing Mode): Whitelist von System- Calls
Control Groups (cgroups): Ressourcenbeschränkung (gegen DoS)
Capabilitieschown, dac_override, fowner, kill, setgid, setuid, setpcap, net_bind_service, net_raw, sys_chroot,mknod, setfcap, audit_write fsetid
Einschränkungen: Privelegierte Container (z.B. cap net_admin)
Sicherheit (Details)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Namespaces
UTS (Systemidentifikation): Eigener Host- und Domänennamen
IPC (Interprozess-Kommunikation): unabhängige IPC-Mechanismen
PID (Prozess-IDs): eigener Raum für die Prozess-IDs
MNT (Mountpoints des Dateisystems): Prozesse in unterschiedlichen Containern haben einen individuellen "View" auf das Dateisystem
NET (Netzwerkressourcen): Jeder Container hat eigenen Netzwerkstack, Netzwerkgerät, IP-Adresse und Routing-Tabelle.
Sicherheit (Details)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Container-Virtualisierung vs. ohne Virtualisierung
Vorteil:
Bessere Abschottung der Services
Nachteil:
Höhere Komplexität
höherer Speicher-Bedarf
Maintenance der Bibliotheken schwierig
Matrix Vor- und Nachteile
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
OS-Virtualisierung vs. ohne Virtualisierung
Vorteil:
Bessere Abschottung der Services
Nachteil:
● Höherer Ressourcenbedarf
Matrix Vor- und Nachteile
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Container- vs. OS-Virtualisierung
Vorteil:
Einfachere Provisionierung
Skaliert im allgemeinen besser
weniger Ressourcenbedarf
Nachteil:
● Maintenance der Bibliotheken schwierig
● Schlechtere Abschottung der Container
● Gemeinsamer Kernel (Kernel-Update aufwändig)
Matrix Vor- und Nachteile
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
● Vordergründig: Höhere Sicherheit
● Im Detail:
– Maintenance unklar
– Keine richtige Virtualisierung (gemeinsamer Kernel / FS / ...)
– hohe Komplexität
Vieles noch unklar, aber Lösungsansätze sind vorhanden. Docker hat das Potenzial, sich zur Standard-Containertechnik zu entwickeln.
Augenmaß, Differenzierte Betrachtung und Abwarten!
Sicherheit (Fazit)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Vielen Dank für Ihre Aufmerksamkeit !
Andreas Niederländer