Testovanie bezpečnosti kontajnerov: Docker, obrazy a ochrana runtime
Testovanie bezpečnosti obrazov
Testovanie kontajnerových obrazov vyhodnocuje pôvod základného obrazu (dôveryhodné registre vs. verejné zdroje), skenovanie známych CVE (balíčky OS, aplikačné závislosti), podpisovanie a overovanie obrazov, minimalizáciu konštrukcie obrazu (zbytočné balíčky zväčšujú priestor pre útok) a osvedčené postupy pre Dockerfile (viacstupňové buildy, používatelia bez práv roota, vrstvy len na čítanie).
Testovanie konfigurácie runtime
Testovanie runtime vyhodnocuje, či kontajnery bežia ako používateľ bez práv roota, či je zakázaný privilégiovaný režim, či je implementované odstraňovanie capabilities, či sú vynútené súborové systémy root len na čítanie a či limity zdrojov zabraňujú odmietnutiu služby (denial-of-service). Každé zbytočné privilégium predstavuje potenciálny únikový vektor.
Bezpečnosť registra
Testovanie vyhodnocuje riadenie prístupu do registra, politiky sťahovania obrazov (image pull policies), integráciu skenovania zraniteľností a to, či je možné nasadiť nepodpísané alebo neskenované obrazy do produkcie.
Únikové vektory kontajnerov
Testovanie skúma únikové vektory: privilégiované kontajnery, zdieľanie hostiteľského namespace, zapisovateľné pripojenia Docker socket, zneužitie zraniteľností jadra a nesprávne nakonfigurované profily seccomp/AppArmor. Únik z kontajnera je nález s najvyššou závažnosťou v oblasti bezpečnosti kontajnerov.
Testovanie s Penetrify
Testovanie bezpečnosti kontajnerov pomocou Penetrify pokrýva analýzu obrazov, konfiguráciu runtime, bezpečnosť registra a testovanie únikových vektorov – poskytuje kompletné posúdenie bezpečnosti kontajnerov, ktoré vyžadujú rámce pre dodržiavanie predpisov.
Záver
Kontajnery sú len také bezpečné, aká je ich konfigurácia. Zraniteľnosti obrazov, privilégiá runtime a únikové vektory vytvárajú riziká, ktoré tradičné metódy testovania prehliadajú. Penetrify testuje celý životný cyklus kontajnera.