Infrastruktur im Wandel

Transkript

1 Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung

2 Container Virtualisierung Erweiterte Chroot-Umgebung, bekannte Produkte: linux vserver OpenVZ / virtuozzo LXC / docker Alle Open Source Projektseite: docker.io Linux: In Standard-Distributionen enthalten: apt-get install docker Windows: basierend auf Windows Nano-Server und Hyper-V (nur 8 Images vorhanden)

3 Beispiel Univention Corporate Server (UCS) bereits Dockerisierte Anwendungen: owncloud OpenProject SuiteCRM Dudle Horde WildFly

4 Was ist? ohne Virtualisierung FS/NET HOST HARDWARE / VM

5 Was ist? ohne Virtualisierung OS Virtualisierung FS/NET HOST HARDWARE / VM HYPERVISOR HOST HARDWARE

6 Was ist? ohne Virtualisierung OS Virtualisierung Container Virtualisierung FS/NET FS/NET FS/NET FS/NET HOST HARDWARE / VM HYPERVISOR HOST HARDWARE CONTAINER / HOST HARDWARE / VM

7 Was ist? ohne Virtualisierung OS Virtualisierung Container Virtualisierung FS/NET FS/NET FS/NET FS/NET HOST HARDWARE / VM HYPERVISOR HOST HARDWARE CONTAINER / HOST HARDWARE / VM

8 Was ist? ohne Virtualisierung OS Virtualisierung Container Virtualisierung FS/NET Kernel FS/NET FS/NET FS/NET HOST HYPERVISOR HOST CONTAINER / HOST HARDWARE / VM HW Herst. HARDWARE HARDWARE / VM

9 Was ist? ohne Virtualisierung OS Virtualisierung Container Virtualisierung FS/NET Kernel Kernel FS/NET FS/NET FS/NET HOST HYPERVISOR HOST VT/OS CONTAINER / HOST HARDWARE / VM HW Herst. HARDWARE HW Herst. HARDWARE / VM

10 Was ist? ohne Virtualisierung OS Virtualisierung Container Virtualisierung!!! FS/NET HOST Kernel HYPERVISOR HOST Kernel VT/OS FS/NET FS/NET FS/NET CONTAINER / HOST Kernel HARDWARE / VM HW Herst. HARDWARE HW Herst. HARDWARE / VM HW Herst.

11 Angriffsszenarien PORT ANGRIFF SERVICE CONTAINER

12 Angriffsszenarien PORT ANGRIFF SERVICE CONTAINER

13 Angriffsszenarien PORT SERVICE CONTAINER

14 Angriffsszenarien CONTAINER ANGRIFF CONTAINER RAM FS NETWORK 3. TAG DER IT-SICHERHEIT

15 Angriffsszenarien CONTAINER CONTAINER CONTAINER OS BETRIEBSSYSTEM

16 Provisionierung Variante A: Vollständig herunter laden: index.docker.io hub.docker.com store.docker.com Variante B: Aus Host- (oder anderem) System generieren: docker build Nur wer die Open-Source-Komponenten und -Versionen kennt, kann beurteilen, ob Sicherheitsschwachstellen vorhanden sind.

17 Sicherheit Wichtigste Faktoren: Minimale Systeme Apparmor und SELinux Definierte Umgebung Signierte Images

18 Sicherheit (Details) Seccomp (Secure Computing Mode): Whitelist von System- Calls Control Groups (cgroups): Ressourcenbeschränkung (gegen DoS) Capabilities chown, dac_override, fowner, kill, setgid, setuid, setpcap, net_bind_service, net_raw, sys_chroot, mknod, setfcap, audit_write fsetid Einschränkungen: Privelegierte Container (z.b. cap net_admin)

19 Sicherheit (Details) Namespaces UTS (Systemidentifikation): Eigener Host- und Domänennamen IPC (Interprozess-Kommunikation): unabhängige IPC-Mechanismen PID (Prozess-IDs): eigener Raum für die Prozess-IDs MNT (Mountpoints des Dateisystems): Prozesse in unterschiedlichen Containern haben einen individuellen "View" auf das Dateisystem NET (Netzwerkressourcen): Jeder Container hat eigenen Netzwerkstack, Netzwerkgerät, IP-Adresse und Routing-Tabelle.

20 Matrix Vor- und Nachteile Container-Virtualisierung vs. ohne Virtualisierung Vorteil: Bessere Abschottung der Services Nachteil: Höhere Komplexität höherer Speicher-Bedarf Maintenance der Bibliotheken schwierig

21 Matrix Vor- und Nachteile OS-Virtualisierung vs. ohne Virtualisierung Vorteil: Bessere Abschottung der Services Nachteil: Höherer Ressourcenbedarf

22 Matrix Vor- und Nachteile Container- vs. OS-Virtualisierung Vorteil: Einfachere Provisionierung Skaliert im allgemeinen besser weniger Ressourcenbedarf Nachteil: Maintenance der Bibliotheken schwierig Schlechtere Abschottung der Container Gemeinsamer Kernel (Kernel-Update aufwändig)

23 Sicherheit (Fazit) Vordergründig: Höhere Sicherheit Im Detail: Maintenance unklar Keine richtige Virtualisierung (gemeinsamer Kernel / FS /...) hohe Komplexität Vieles noch unklar, aber Lösungsansätze sind vorhanden. Docker hat das Potenzial, sich zur Standard-Containertechnik zu entwickeln. Augenmaß, Differenzierte Betrachtung und Abwarten!

24 Vielen Dank für Ihre Aufmerksamkeit! Andreas Niederländer