Всем привет!
В библиотеке IEEE Xplore есть интересная статья про контейнеры и безопасность. Она называется Container Security: Issues, Challenges, and the Road Ahead (апрель 2019).
Цель этой статьи со слов авторов – помочь разобраться в требованиях к ИБ в части контейнеров и дать более четкое представление о возможных уязвимостях и атаках.
Авторы проанализировали различную литературу, сформировали 4 глобальных типа требований по безопасности (они называют это use cases) с разбивкой по способу реализации (software/hardware) и для каждой составили модель угроз с описанием угрозы, атаки, примера исполнения и варианта устранения.
Пример 1:
🍡Use case I: защита контейнеров от запускаемых в них приложений
🍡Угроза: Уязвимости в образах
🍡Атака: Remote Code Execution
🍡Сценарий: Эксплуатация уязвимости CVE-2014-6271 (ShellShock)
🍡Решение: периодические сканирование образов на уязвимости
Пример 2:
🍡Use case 2: защита взаимодействий между контейнерами
🍡Угроза: бесконтрольный сетевой доступ между контейнерами
🍡Атака: сканирование портов, поиск уязвимостей
🍡Сценарий: использование скомпрометированного контейнера для поиска и сканирования контейнеров, размещенных в других сетях с иным уровнем доступа
🍡Решение: разделение контейнеров по виртуальным сетям с различным уровнем доступа, мониторинг аномального поведения
Эти материалы также дополняются достаточно подробным описанием стандартных механизмов защиты, реализуемых в ОС Linux (такие как namespaces, SELinux и пр.).
В качестве итога статьи приводится сводная таблица, охватывающая все описанные угрозы и меры по их устранению с указанием источников на дополнительные материалы.
Ссылка на статью: https://ieeexplore.ieee.org/document/8693491
В библиотеке IEEE Xplore есть интересная статья про контейнеры и безопасность. Она называется Container Security: Issues, Challenges, and the Road Ahead (апрель 2019).
Цель этой статьи со слов авторов – помочь разобраться в требованиях к ИБ в части контейнеров и дать более четкое представление о возможных уязвимостях и атаках.
Авторы проанализировали различную литературу, сформировали 4 глобальных типа требований по безопасности (они называют это use cases) с разбивкой по способу реализации (software/hardware) и для каждой составили модель угроз с описанием угрозы, атаки, примера исполнения и варианта устранения.
Пример 1:
🍡Use case I: защита контейнеров от запускаемых в них приложений
🍡Угроза: Уязвимости в образах
🍡Атака: Remote Code Execution
🍡Сценарий: Эксплуатация уязвимости CVE-2014-6271 (ShellShock)
🍡Решение: периодические сканирование образов на уязвимости
Пример 2:
🍡Use case 2: защита взаимодействий между контейнерами
🍡Угроза: бесконтрольный сетевой доступ между контейнерами
🍡Атака: сканирование портов, поиск уязвимостей
🍡Сценарий: использование скомпрометированного контейнера для поиска и сканирования контейнеров, размещенных в других сетях с иным уровнем доступа
🍡Решение: разделение контейнеров по виртуальным сетям с различным уровнем доступа, мониторинг аномального поведения
Эти материалы также дополняются достаточно подробным описанием стандартных механизмов защиты, реализуемых в ОС Linux (такие как namespaces, SELinux и пр.).
В качестве итога статьи приводится сводная таблица, охватывающая все описанные угрозы и меры по их устранению с указанием источников на дополнительные материалы.
Ссылка на статью: https://ieeexplore.ieee.org/document/8693491