Verifica della Sicurezza delle Immagini
Il testing delle immagini container valuta la provenienza dell'immagine di base (registri affidabili rispetto a fonti pubbliche), la scansione di CVE note (pacchetti OS, dipendenze dell'applicazione), la firma e la verifica dell'immagine, la costruzione di immagini minimali (pacchetti non necessari ampliano la superficie di attacco) e le best practice di Dockerfile (build multi-stage, utenti non-root, livelli di sola lettura).
Verifica della Configurazione Runtime
Il testing runtime valuta se i container vengono eseguiti come non-root, se la modalità privileged è disabilitata, se l'eliminazione delle capability è implementata, se i filesystem root di sola lettura sono applicati e se i limiti delle risorse impediscono attacchi denial-of-service. Ogni privilegio non necessario è un potenziale vettore di fuga.
Sicurezza del Registro
Il testing valuta i controlli di accesso al registro, le policy di pull delle immagini, l'integrazione della scansione delle vulnerabilità e se immagini non firmate o non scansionate possono essere distribuite in produzione.
Vettori di Fuga del Container
Il testing sonda i vettori di fuga: container privileged, condivisione del namespace host, mount socket Docker scrivibili, sfruttamento delle vulnerabilità del kernel e profili seccomp/AppArmor configurati in modo errato. La fuga del container è la scoperta di massima gravità nella sicurezza dei container.
Testing con Penetrify
Il container security testing di Penetrify copre l'analisi delle immagini, la configurazione runtime, la sicurezza del registro e il testing dei vettori di fuga, fornendo la valutazione completa della sicurezza dei container richiesta dai framework di conformità.
In Sintesi
I container sono sicuri solo quanto la loro configurazione. Le vulnerabilità delle immagini, i privilegi runtime e i vettori di fuga creano rischi che i metodi di testing tradizionali non rilevano. Penetrify testa l'intero ciclo di vita del container.