The
state of container security
Posted
20 Jan 2016 by Andrew Thornton (Red Hat)
Bài
được đưa lên Internet ngày: 20/01/2016
Kiến
trúc sư trưởng của Red Hat ở Mỹ, Thomas
Cameron, đã làm việc trong nền công nghiệp CNTT từ
năm 1993, và đã làm việc với giới công nghiệp trải từ
sản xuất công nghệ cao, các dịch vụ tài chính đa quốc
gia, các dịch vụ CNTT, giáo dục, sản xuất năng lượng,
giao thông, và các dịch vụ bán lẻ phạm vi rộng.
Trước
khi có 2 bài trình chiếu của ông tại Triển lãm Linux
thường niên lần thứ 14 ở Nam California (SCaLE
14x) năm nay - Sự giới thiệu về An toàn đồ chứa
(An
Introduction to Container Security) và Gluster
Quickstart - tôi đã gặp được Thomas để thảo luận
về an ninh của các đồ chứa.
Hỏi
và Đáp
Các
đặc tính an toàn nào từ cộng đồng mà ông thích thú
trong tương lai của Docker?
Vâng,
cá nhân tôi thích Linux có Cải tiến về An toàn (SELinux),
vì thế đối với tôi, SELinux là đặc tính an toàn thú
vị nhất trong các đồ chứa ngày nay. Khi bạn nhìn vào
thực chất rằng dạng an toàn tăng cường và đa chủng
loại (MCS) được chào, chúng làm gia tăng mạnh an toàn
được chào khi chạy nhiều khung và ứng dụng khác nhau
trong một máy chủ hoặc máy ảo (VM) duy nhất.
SELinux
cung cấp một con đường sáng giữa các đồ chứa khác
nhau, sao cho thậm chí nếu ứng dụng của một đồ chứa
bị tổn thương, thì phần còn lại của hệ thống vẫn
an toàn.
Sau
SELinux, tôi nghĩ là không gian tên (namespacing)
là đặc tính an toàn tuyệt vời. Khả năng của máy chủ
ảo hóa các hệ thống tệp, kết nối mạng, mã ID quy
trình, những người sử dụng, và hơn thế nữa cung cấp
sự cô lập của từng đồ chứa, bảo vệ các đồ chứa
khác và máy chủ khỏi bị tấn công.
Một
đặc tính an toàn rất hay khác là các khả năng của
Linux (libcap).
Các khả năng của Linux là một cơ chế ở đó các bộ
lọc có thể được áp dụng cho các khả năng mà nhân
Linux cung cấp, loại bỏ những điều giống như quản lý
mạng và phần cứng đối với đồ chứa. Điều này
không chỉ đơn giản hóa quản lý đồ chứa, mà còn làm
cho các đồ chứa an toàn hơn.
Tôi
sẽ trình bày tất cả các đặc tính đó trong bài
nói chuyện của tôi ở SCaLE 14x năm nay.
Đâu
là các sai lầm chung về an toàn phải tránh khi triển khai
các đồ chứa?
Đừng
có áp dụng tư duy “đốt và quên”. Hãy nhớ rằng, chỉ
khi bạn phải bám theo các bản cập nhật hệ điều hành
của bạn, bạn cần phải chắc chắn rằng các nội dung
đồ chứa của bạn được cập nhật, cũng vậy. Là bản
chất tự nhiên của con người đối với đám đông để
hoàn tất một dự án và chuyển sang dự án tiếp theo,
nhưng với các đồ chứa, chúng ta thực sự phải tập
trung vào an toàn và tính bền vững của các đồ chứa
đó.
Làm
thế nào ông làm dịu bớt được các lo lắng về an toàn
của nhiều đồ chứa đang chạy trên cùng một máy chủ?
Đây
là sự quá đơn giản hóa nói chung, nhưng nhiều đồ chứa
trên một máy chủ chỉ là bước logic tiếp sau từ nhiều
máy ảo trên một máy chủ. Vì các đồ chứa đó được
kiểm soát chặt chẽ bởi các khả năng đặt không gian
tên của nhân, của SELinux, của nhân Linux, và tương tự,
bạn có thể được đảm bảo rằng rủi ro là tối
thiểu.
SCaLE
là hội nghị về phần mềm tự do nguồn mở lớn nhất
do cộng động tổ chức ở Bắc Mỹ. Loạt bài về SCaLE
14x cung cấp các cuộc phỏng vấn và các báo cáo của các
diễn giả để xem trước về sự kiện đó của năm
2016.
Chief
Architect for the central US at Red Hat, Thomas
Cameron, has been in the information technology industry since
1993, and has worked with industries ranging from high tech
manufacturing, multinational financial services, information
technology services, education, energy production, transportation,
and large scale retail services.
Prior
to his two presentations at 14th annual Southern Californian Linux
Expo (SCaLE 14x)
this year—An
Introduction to Container Security and Gluster
Quickstart—I caught up with Thomas to discuss container
security.
Q&A
What
security features from the community are you excited about in
Docker's future?
Well,
I'm personally biased about Security Enhanced Linux (SELinux),
so to me, SELinux is the most exciting security feature in containers
today. When you look at the granularity that type enforcement and
multi-category security (MCS) offer, they massively increase the
security offered when running multiple different frameworks and
applications on a single host or virtual machine (VM).
SELinux
provides a bright, shining line between different containers, so that
even if one container's app is compromised, the rest of the system is
safe.
After
SELinux, I think that namespacing
is a fantastic security feature. The ability of the host to abstract
filesystems, networking, process IDs, users, and so on provides
isolation of each container, protecting other containers and the host
from attack.
One
other very cool security feature is Linux capabilities (libcap).
Linux capabilities is a mechanism whereby filters can be applied to
the capabilities that the Linux kernel provides, excluding things
like network and hardware management for the container. Not only does
this simplify container management, it also makes containers more
secure.
I'll
demonstrate all of these features during my
talk at SCaLE 14x this year.
What
are common security mistakes to avoid when deploying containers?
Don't
adopt a "fire and forget" mindset. Remember that, just as
you have to keep up with updates of your operating system, you need
to make sure that the contents of your container are kept up to date,
as well. It's human nature for folks to finish a project and move on
to the next, but with containers, we really have to focus on security
and sustainability of those containers.
How
would you alleviate concerns over security of multiple containers
running on the same host?
This
is a gross over-simplification, but multiple containers on a host is
just the next logical step from multiple virtual machines on a host.
Because those containers are tightly controlled by the kernel
namespaced, Security Enhanced Linux, Linux kernel capabilities, and
the like, you can be assured that the risk is minimal.
SCaLE
is the largest community-run open-source and free software conference
in North America. The SCaLE 14x series provides preview speaker
interviews and reports on the 2016 event.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.