Maßnahmen für bessere Docker-Sicherheit

Labile Container

Mit dem Erfolg von Containertechniken wie Docker geht das ungute Gefühl mancher Sicherheitsverantwortlicher einher, sich ein neues Einfallstor gefährlicher Malware einzuhandeln. Obwohl die Sorge grundsätzlich berechtigt ist, gibt es Ansätze, um die Gefahren einzudämmen. Einigen Problemquellen wie den Zugriffen auf das Dateisystem hat sich der Docker-Anbieter bereits angenommen, doch ihre Umsetzung leidet noch an Kinderkrankheiten.
Das Storage-Management und die Virtualisierung der Speicherumgebung stehen im Mittelpunkt der November-Ausgabe des IT-Administrator. Denn längst sind die ... (mehr)

Laufen mehrere Workloads auf einem Server, isoliert die Containertechnik Docker sie voneinander, sodass die einzelnen Anwendungen voneinander nichts mitbekommen. Das realisiert Docker durch eine Reihe von Bordmitteln, die der Linux-Kernel mitbringt. Der Namespace-Mechanismus sorgt dafür, dass ein eigener Namensraum für jeden Container bereitsteht. Damit kann es mehrere Prozesse mit der gleichen PID geben, jeder Container kann seinen eigenen Hostnamen vergeben oder individuell seine Netzschnittstellen konfigurieren. Wenn Anwender Garantien für einen bestimmten Anteil der Systemressourcen wie CPU, Speicher oder Netzbandbreite benötigen, kontigentiert Docker diese mit dem Cgroup-Mechanismus.

Selbstverteidigung des Kernels

Dennoch laufen im Containerbetrieb alle Instanzen auf dem gleichen Kernel. Namespaces und Cgroups sorgen innerhalb des Kernels dafür, dass die Isolation aufrechterhalten wird. Um aber auch für Notfälle gewappnet zu sein, kann Docker zusätzlich die Frameworks AppArmor, SELinux und Seccomp einsetzen. Alle drei Subsysteme sind eine Art Firewall für Kernelressourcen: Mittels AppArmor

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023