Docker: Security-Desaster (und was wir daraus lernen können)

Beim Setup und Betrieb von Docker-Images lauern Security-Probleme. Das gilt sowohl für im Team intern entwickelte als auch für öffentlich verfügbare Images. Stefan berichtet aus seinen alltäglichen Erfahrungen aus Operations-Perspektive.

Der Vortrag widmet sich zunächst den verschiedenen Ebenen eines typischen Docker-Images: Beginnend bei den durch die Linux-Distributoren bereitgestellten minimalen Base-Images über vorkonfigurierte Images für den Einsatz von generischen Anwendungen oder Programmiersprachen bis hin zu spezialisierten Images einer spezifischen Applikation werden typische Dockerfiles analysiert. Beispielhaft werden bestehende und oft übersehene Security-Implikationen aufgezeigt und Lösungsansätze vorgeschlagen.

Anschließend wirft der Vortrag einen Blick auf komplexe Applikations-Stacks (Stichwort dockercompose, Helm charts,...), untersucht deren zugrunde liegenden Docker-Images und versucht, aus den zuvor aufgezeigten Problemfeldern ein Bewusstsein für die Risiken und Unwägbarkeiten der Supply Chains von dockerisierten Appliances abzuleiten.

In einem letzten Schritt werden Prozesse, Tools und Workflows vorgeschlagen, die sich in der Praxis bewährt haben. Richtlinien beim Build-Prozess eigener Docker-Images werden vorgestellt. Darüber hinaus werden Ansätze für ein kontinuierliches und umfassendes Security-Monitoring von DockerContainern skizziert.

Speaker

 

Stefan Walluhn
Stefan Walluhn betreibt bei der about source GmbH für große deutsche und internationale NGOs komplexe Software-Stacks und Kampagnen- Platformen.. Entwickelt dafür Security-Monitoring, Continous Integration Pipelines und IaC-Lösungen. Er zeigt unter dem Schlagwort "Devops Disasters" Problemfelder in Entwicklung und Betrieb von Software auf und versucht praxistaugliche Antworten zu vermitteln. Stefan hat einen Hackspace in Halle (Saale) gegründet und will in diversen Projekten netzpolitische Fragen auch außerhalb der Tech-Community diskutieren.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden