🐳 Как использовать Docker Bench for Security для аудита контейнеров

Автор cryptoparty На чтение 4 мин Опубликовано 13.04.2021

Одна из самых больших проблем, связанных с развертыванием контейнеров, – это безопасность.

Это проблема в том отнрошении, потому что нужно проверить много движущихся частей.

У вас могут быть манифесты контейнера в полном порядке, но как насчет хоста?

Или, может быть, ваш хост исправен, но ваши файлы YAML пронизаны дырами безопасности.

Содержание

Что делать?
Что вам понадобится
Как установить Docker Bench
Как настроить демон Docker
Как установить и настроить Auditd
Как запустить аудит

Что делать?

Тратить часы (или дни) на прочесывание всего, чтобы убедиться, что эти контейнеры безопасны?

Или вы можете использовать доступные инструменты.

Одним из таких инструментов является предварительно созданный контейнер под названием Docker Bench for Security – он отлично справляется с аудитом вашего хоста контейнера и текущих развертываний.

В отличие от многих подобных инструментов, Docker Bench for Security невероятно прост в использовании.

Docker Bench for Security проверяет следующее:

Общая конфигурация
Конфигурация Linux хоста
Конфигурация демона Docker
Файлы конфигурации демона Docker
Образы контейнеров и файл сборки
Рантайм контейнера
Docker Security Operations
Конфигурация Docker Swarm
Конфигурация Docker Enterprise
Конфигурация доверенного реджестри Docker

Позвольте мне показать вам, как это делается.

Единственное, что вам нужно для этой работы, – это запущенный экземпляр Docker на вашем сервере и пользователь, связанный с группе Docker, который может запускать команды Docker.

Я буду демонстрировать пример на сервере Centos 8, но инструмент будет работать на любой платформе, поддерживающей Docker.

Как установить Docker Bench

Первое, что нам нужно сделать, это клонировать инструмент из GitHub.

Если у вас еще не установлен git, сделайте это с помощью такой команды, как:

Ubutnu/Debian:

sudo apt-get install git -y

sudo yum install git -y

git clone https://github.com/docker/docker-bench-security.git

sudo nano /etc/audit/audit.rules

Внизу файла вставьте следующее:

-w /usr/bin/docker -p wa
-w /var/lib/docker -p wa
-w /etc/docker -p wa
-w /lib/systemd/system/docker.service -p wa
-w /lib/systemd/system/docker.socket -p wa
-w /etc/default/docker -p wa
-w /etc/docker/daemon.json -p wa
-w /usr/bin/docker-containerd -p wa
-w /usr/bin/docker-runc -p wa

Сохраните и закройте файл.

Перезапустите auditd командой:

sudo systemctl restart auditd

Наконец, перезапустите демон Docker с помощью команды:

sudo systemctl restart docker

Находясь в каталоге docker-bench-security, запустите аудит командой:

./docker-bench-security.sh

Вышеупомянутая команда запустит аудит и начнет выводить детали с категориями:

Pass
Info
Note
Warning

Когда аудит завершится, вы должны просмотреть выходные данные и устранить все, что указано как предупреждение – как минимум.

Могут даже быть некоторые информационные сообщения или заметки, о которых вам нужно позаботиться.

Полученные вами выходные данные будут зависеть от конфигурации вашего хоста и развернутых вами контейнеров.

Однако вашей целью должно быть как минимум устранение всех предупреждений.

После устранения этих проблем обязательно перезапустите аудит.

Делайте это до тех пор, пока не перестанут отображаться никакие предупреждающие сообщения.

🐳 Как использовать Docker Bench for Security для аудита контейнеров

Что делать?

Что вам понадобится

Как установить Docker Bench