¿El tráfico entre los contenedores debe estar cifrado?

2

¿Debe estar cifrado el tráfico entre dos contenedores en el mismo entorno de ventana acoplable?

¿Es posible que un contenedor entre en el tráfico sin cifrar entre dos contenedores?

    
pregunta SleepyLord 31.05.2018 - 13:07
fuente

2 respuestas

3

Aunque depende ligeramente de la naturaleza del entorno en uso, en el caso general, diría que es probable que desee cifrar el tráfico entre dos contenedores.

En una configuración de Docker predeterminada (por ejemplo, no se deben considerar las redes de superposición), los contenedores se comunican entre sí a través del puente de Docker predeterminado. También, de forma predeterminada, a los contenedores se les asigna el privilegio NET_RAW, lo que significa que, entre otras cosas, pueden intentar llevar a cabo cosas como los ataques de suplantación ARP (hay detalles de esto en este documento técnico de Jesse Hertz

Entonces, si usa comunicaciones no cifradas entre 2 contenedores, entonces existe el riesgo de que un tercer contenedor malicioso que se ejecuta en el mismo host intente detectar el tráfico entre sus dos contenedores.

Qué tan realista es el escenario de amenaza, dependerá completamente de su aplicación.

    
respondido por el Rоry McCune 31.05.2018 - 13:30
fuente
1

Como han señalado otras respuestas, de hecho es posible detectar el tráfico en una comunicación de contenedor a contenedor mediante un tercer contenedor. Sin embargo, incluso si hubiera sido seguro (por ejemplo, si confía en el host y en todo su contenedor), se espera que todos los acopladores puedan migrarse casi sin problemas de un host a otro.

Aunque este no es el caso "ahora", puede suceder en el futuro que efectivamente se migren en diferentes máquinas, y usted (o peor, un administrador diferente que no conoce la lógica de la aplicación) puede no recordar que el tráfico no está cifrado en la planificación de que.

    
respondido por el pqnet 31.05.2018 - 19:23
fuente

Lea otras preguntas en las etiquetas