osquery en un entorno Docker

1

Actualmente estoy investigando el monitoreo de seguridad en entornos Docker y quiero explorar la posibilidad de utilizar osquery para recopilar actividad de los contenedores, pero he ejecutado en un pequeño dilema de seguridad sobre el que me gustaría reflexionar y comentar:

Ejecutar osquery en cada contenedor de Docker en la infraestructura le daría una excelente conciencia de la situación, pero desafortunadamente no se puede ejecutar osquery en el Alpine Linux , lo que significa que toda la flota de contenedores Docker debería basarse en imágenes mucho más infladas, como Debian o Ubuntu, con una superficie de ataque mucho mayor y posibilidades para un atacante, si obtienen acceso a un contenedor.

¿Es una práctica común colocar osquery en contenedores, o deberían ser tratados como ganado estúpido con una superficie de ataque mínima que puede ser disparada si muestra signos de rareza, y luego tener un monitoreo avanzado en las máquinas anfitrionas de Docker?

    
pregunta Heyerinty 27.05.2018 - 10:01
fuente

1 respuesta

1

Docker nunca se enfoca en la seguridad y la separación de privilegios. El objetivo objetivo de Docker es poder instalar y desplegar rápidamente contenedores para cualquier cosa, en cualquier cosa.

Por esta razón, es una práctica común colocar cualquier cosa en los contenedores de la ventana acoplable, incluidas las herramientas de seguridad, pero no está endurecido para que no se escape de un contenedor a la máquina física (aunque hacerlo es más difícil como parece).

No es una práctica común que descargues un contenedor docker, escribas un script de 10 líneas en él y funcionará a la perfección. Sí, esto es lo que ofrece la ventana acoplable, pero no lo cumple. La razón principal es la seguridad: al no estar realmente reforzados por la seguridad, necesitan deshabilitar muchas características importantes del kernel de Linux (por ejemplo, simplemente deshabilitaron los sockets de datagramas de Unix, es por eso que syslogd no funciona muy bien en contenedores docker).

Si osquery funciona en al menos dos familias de distro diferentes (basadas en Deb y rpm), entonces sí, también debería funcionar en Alpine. Pero es tu tarea hacer que funcione.

Tan seguro, puedes hacer que osquery funcione , pero no será fácil. Tendrás que profundizar tanto en osquery, alpine y docker. Como resultado, podrá construir un contenedor de acoplamiento de osquery, que podrá utilizar como base para sus desarrollos futuros.

    
respondido por el peterh 28.05.2018 - 00:04
fuente

Lea otras preguntas en las etiquetas