Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Docker onveilig

16-11-2019, 09:57 door Anoniem, 19 reacties
Bij ons werk willen wij heel graag gebruik maken van Docker, maar zegt onze ICT afdeling dat Docker onveilig is.

Waarom is het gebruik van Docker onveilig en wat kan je hier tegen aan doen?
Reacties (19)
16-11-2019, 14:29 door Anoniem
TL;DR: als je het programma docker kunt uitvoeren, kun je automatisch een root shell krijgen op Linux.

Onder Linux is het noodzakelijk om docker uit te voeren met root-rechten. Als alternatief is het mogelijk om gebruikers toe te voegen aan de groep docker. Echter, het is dan nog steeds mogelijk om een root-shell te krijgen door het host filesystem te mounten in de docker container. Meer uitleg kan je bijvoorbeeld vinden op https://www.electricmonk.nl/log/2017/09/30/root-your-docker-host-in-10-seconds-for-fun-and-profit/. Dezelfde blogpost heeft het erover dat met behulp van het remappen van UIDs dit kan worden voorkomen (zie https://docs.docker.com/engine/security/userns-remap/).
16-11-2019, 15:16 door Anoniem
Als die IT afdeling deskundig is, dan kunnen ze dat onderbouwen. Dat je het dan begrijpt is wat anders.
16-11-2019, 15:22 door Anoniem
Vorig jaar werden 30 security holes gevonden. Nuff said.
16-11-2019, 15:41 door Anoniem
Door Anoniem: Bij ons werk willen wij heel graag gebruik maken van Docker, maar zegt onze ICT afdeling dat Docker onveilig is.

Waarom is het gebruik van Docker onveilig en wat kan je hier tegen aan doen?

Jullie ICT afdeling heeft gelijk, computers zijn onveilig.
16-11-2019, 15:52 door Anoniem
Door Anoniem: TL;DR: als je het programma docker kunt uitvoeren, kun je automatisch een root shell krijgen op Linux.

Onder Linux is het noodzakelijk om docker uit te voeren met root-rechten. Als alternatief is het mogelijk om gebruikers toe te voegen aan de groep docker. Echter, het is dan nog steeds mogelijk om een root-shell te krijgen door het host filesystem te mounten in de docker container. Meer uitleg kan je bijvoorbeeld vinden op https://www.electricmonk.nl/log/2017/09/30/root-your-docker-host-in-10-seconds-for-fun-and-profit/. Dezelfde blogpost heeft het erover dat met behulp van het remappen van UIDs dit kan worden voorkomen (zie https://docs.docker.com/engine/security/userns-remap/).

Is allang gefixed, probeer het zelf eens.
16-11-2019, 16:56 door Anoniem
Weet je al waarom je zo graag docker wil gebruiken? Zijn er specifieke features die je hebben wil en die alleen docker kan leveren?

Er zijn legio redenen om docker wel of niet te willen, en zelfs om containerisatie in z'n geheel (dat is wat docker biedt, maar is ook via andere software te krijgen), wel of niet te willen. Wil je een serieuze afweging kunnen maken dan zul je de argumenten voor en tegen helder moeten krijgen.

Persoonlijk zeg ik dat docker leuk is als je data niet belangrijk is (zoals zo vaak het geval met "web") en als je (web)developers toch al niet-reproduceerbare en niet-onderhoudbare kluwens aan "full stack" produceren die ze in z'n geheel in productie willen schuiven. Wat dus naast de makken in docker zelf ook voor sercurityproblemen kan zorgen. Is dat niet wat jullie doen als bedrijf, dan is het wel een goed idee nog even wat beter te kijken naar wat je ervan verwacht en wat je ervoor bereid bent op te offeren. En kijk vooral ook verder dan alleen docker, want zo geweldig opgezet is die software nu ook weer niet. Als "docker" de enige keuze is heb je bij voorbaat al geen keuze, en dat is dom.
16-11-2019, 18:28 door [Account Verwijderd]
Docker onveilig? Uiteraard, maar geld dat niet voor bijna elke applicatie?

https://www.cvedetails.com/product/28125/Docker-Docker.html?vendor_id=13534

Maar Microsoft staat nog steeds bovenaan als het gaat om het aantal kwetsbaarheden:

https://www.cvedetails.com/top-50-vendors.php


En diezelfde IT afdeling beheert waarschijnlijk een Windows gebaseerd netwerk en ongetwijfeld ms office applicaties met de nodige macro's.

Niet een onredelijke keus, maar het is ook onredelijk om Docker niet toe te staan en duid meer op een gebrek aan kennis binnen de IT afdeling dan dat er valide argumenten zijn om Docker tegen te houden.

Ze zouden Docker moeten omarmen.
16-11-2019, 20:08 door Anoniem
Door EnGeeX: Docker onveilig? Uiteraard, maar geldt dat niet voor bijna elke applicatie?
Dat is een mooie drogredenering.

En diezelfde IT afdeling beheert waarschijnlijk een Windows gebaseerd netwerk en ongetwijfeld ms office applicaties met de nodige macro's.
Mischien. Maar mischien ook niet. En als wel, mischien niet vrijwillig. Oh, en doet docker wat "ms office met macros" doet?

Niet een onredelijke keus, maar het is ook onredelijk om Docker niet toe te staan en duid meer op een gebrek aan kennis binnen de IT afdeling dan dat er valide argumenten zijn om Docker tegen te houden.
Dat is niet te concluderen voordat je hun hele redenering hebt aangehoord.

Ze zouden Docker moeten omarmen.
Want?
16-11-2019, 20:18 door karma4 - Bijgewerkt: 16-11-2019, 20:22
Door EnGeeX: ......
Niet een onredelijke keus, maar het is ook onredelijk om Docker niet toe te staan en duid meer op een gebrek aan kennis binnen de IT afdeling dan dat er valide argumenten zijn om Docker tegen te houden.

Ze zouden Docker moeten omarmen.
Docker is de ontkenning dat een applicatie een eigen systeem is. Het geloof dat je met enter enter klaar gratis en goedkoop applicaties kan uitrollen. Geen beheer of overwegingen wie welje gegevens nodig heeft of mag benaderen.

Dat idee is scadelijk voor een goede security.nl.

Waarschijnlijk is de vraag met dat enter enter klaar ook vanuit die hoek gesteldvoo docker. Dan heb je meteen het antwoord waarom het onveilig is.

Een verschil zag ik met azure ad credentials een complete gelaagde aanpak waar een master admin vele aparte service admin met beperkte rechten kan beheren. Services als de applicaties. De applicaties in de context van gebruikers een warrige combinatie van die services.
Ga nu eens een houding van dienstverlener aannemen.
16-11-2019, 21:17 door [Account Verwijderd]
Door karma4:
Ga nu eens een houding van dienstverlener aannemen.

Done.

Het bedrijf waar ik voor werk bracht onze software al uit voor Ubuntu, Windows en masOS, maar de (eind)gebruikers riepen hard om een Docker image en we hebben deze onmiddellijk, dienstverlenend als we zijn, zeer recent gelanceerd.
17-11-2019, 07:49 door [Account Verwijderd]
Door Anoniem: Bij ons werk willen wij heel graag gebruik maken van Docker, maar zegt onze ICT afdeling dat Docker onveilig is.

Waarom is het gebruik van Docker onveilig en wat kan je hier tegen aan doen?

Docker wordt grootschalig gebruikt door kleinere en grotere bedrijven [1]. Er zijn zoals met elk systeem een aantal zaken waar je rekening mee moet houden maar om het bij voorbaat 'onveilig' te noemen klinkt een beetje lui. Wat de boer niet kent...

[1] https://medium.com/@tao_66792/interesting-facts-companies-and-the-use-of-docker-948baa8cf30
17-11-2019, 09:11 door karma4
Door EnGeeX:
Door karma4:
Ga nu eens een houding van dienstverlener aannemen.

Done.

Het bedrijf waar ik voor werk bracht onze software al uit voor Ubuntu, Windows en masOS, maar de (eind)gebruikers riepen hard om een Docker image en we hebben deze onmiddellijk, dienstverlenend als we zijn, zeer recent gelanceerd.

Er zijn ook gebruikers die vragen om de gevaarlijkste zaken met mogelijk dodelijk afloop waarbij de leverancier aansprakelijk gehouden wordt. Een fraai voorbeeld is hoe de 7373 max zo snel mogelijk op de markt moest komen.
De dienstverlening om te doen wat opgedragen was was prima, Net zoals bij VW in het dieselschandaal.

https://www.cloudsigma.com/manage-docker-resources-with-cgroups/ Dienstverlening houdt ook in dat ethische en wetttelijk verantwoordelijk is. Helaas ontbreekt dat in je lijstje. Zeker in de hoek van het rampzalige IOT gebeuren is het zeer klantvriendelijk om slechte producten op de markt te gooien omdat verkoop er om vraagt.
17-11-2019, 09:21 door Anoniem
suggestie:

https://singularity.lbl.gov/

"... Did you already invest in Docker? The Singularity software can import your Docker images without having Docker installed or being a superuser. ..."

met advies:

https://singularity.lbl.gov/install-request
17-11-2019, 09:42 door Anoniem
Docker is een vergiet. Kijk kinderen, zo werden programma's gecode in de tijd van pappa, ja nu snap je al die moeilijke sanitation routines. Het is geen gezeur van oudjes zoals je tanden poetsen. Tsja waarom het niet in het besturingssysteem zelf zit ingebakken? Dat is zo gegroeid. Heel, heel vroeger bouwde je programmas voor functionaliteit. Vroeger kon je mensen nog vertrouwen en bespioneerde je eigen telefoon jou niet. Toen moest je nog betalen (per regel) voor P.T.T. Telekom voor een specificatie van een telefoonrekening. Was de rekening hoog moest je nog extra betalen voor een specificatie ook. In de vorige eeuw was niet alles beter maar het was nog gezellig. Tijdens hackerbijeenkomsten speelde je samen om de buitenwereld te ontdekken en speelde je niet vanuit de buitenwereld Starwars in de Hacker Dojo.
17-11-2019, 10:04 door Anoniem
Door Ex Machina:
Door Anoniem: Bij ons werk willen wij heel graag gebruik maken van Docker, maar zegt onze ICT afdeling dat Docker onveilig is.

Waarom is het gebruik van Docker onveilig en wat kan je hier tegen aan doen?

Docker wordt grootschalig gebruikt door kleinere en grotere bedrijven [1]. Er zijn zoals met elk systeem een aantal zaken waar je rekening me
We kunnen vanalles hier verzinnen, maar zonder de achtergrond te weten van de beweeg redenen, is alles gokken hier waarom deze uitspraak zo gekomen is.
Docker heeft ook zeker grote security issues omdat developers zelf even iets gaan onderhouden, of eigenlijk niet.
Security kan dan zeker in het geding komen. Iets wat in een managed omgeving niet zomaar even mogelijk is.

Ik heb ze hier gewoon even een OpenVPN tunnen zien maken, om alle firewalls restricties te omzeilen.

Bij ons bedrijf is docker ook wel mogelijk, maar door de firewalls op je laptops werkt het niet. Het is ook niet ondersteund door IT.Iets waar ook heel goed is voor te zeggen is.

Daarom zonder meer informatie is er niets nuttigs over te zeggen.
17-11-2019, 10:34 door Anoniem
Door karma4: Het geloof dat je met enter enter klaar gratis en goedkoop applicaties kan uitrollen. Geen beheer of overwegingen wie welje gegevens nodig heeft of mag benaderen.
Je lijkt de eigenschappen van hulpmiddelen niet te kunnen onderscheiden van de eigenschappen van sommige gebruikers van die hulpmiddelen. Dat BMW- en Audi-rijders gemiddeld de meeste brokken maken in het verkeer [*] wil niet zeggen dat die merken slechte auto's maken.

[*] Volgens https://www.rtlz.nl/life/lifestyle/artikel/4867221/autos-ongevallen-leaserijders
18-11-2019, 11:57 door Anoniem
Weer een hoop Docker "kenners" hier zo te zien.
Argumenten wel of niet blijven uit en worden doorverwezen naar linkjes.

Docker draait op een docker host en dat is het eerste punt van aandacht. Als die vulnerable is, dan is je omgeving dat ook.
CIS heeft daar hardening guidelines voor, dus die volgen en je hebt al een goed eerste stap gezet.

Developers zomaar een paar pakketjes tot een container laten maken is ook vragen om problemen.
Een vulnerability management oplossing in de CI/CD pipleline integreren, voorkomt al een hoop security issues.

Verder zal de data ook in een veilige omgeving moeten draaien, binnen of buiten de container.

Kortom, als we spreken over Security, dan zal alles beginnen met een risk assessment.

Tot slot wel een linkje naar een goed blog over Docker, de concepten, Ecosystem en Security.
https://towardsdatascience.com/top-20-docker-security-tips-81c41dd06f57
18-11-2019, 13:23 door Anoniem
Een
Door Anoniem:
Waarom is het gebruik van Docker onveilig en wat kan je hier tegen aan doen?

Een kernel exploit kan gebruikt worden om uit een Docker container te escapen en de host te compromisen.

Voorbeeld: https://www.cyberark.com/threat-research-blog/the-route-to-root-container-escape-using-kernel-exploitation/
18-11-2019, 17:03 door Anoniem
als je hier moet gaan vrage nwaarom Docker onveilig is, dan vermoed ik dat je maar weinig van Docker weet.
...en daarom is Docker in jouw handen onveilig.

Je ict omgeving kan echter wel een zandbak voor je aanmaken en samen kijken wat je wil en of Docker ze een hoop werk uit handen neemt. ik hoop dat je niet bij de overheid werkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.