Docker + AV en el host

Navega tus respuestas
0

He revisado un poco de la historia de este sitio (lo que inevitablemente significa que alguien publicará lo que me perdí) y no encontré nada relacionado directamente con mi pregunta.

¿Cuál ha sido la solución típica cuando se trata de ejecutar la ventana acoplable pero aún se intenta cumplir con los requisitos de seguridad?

El caso de uso particular es que tenemos hosts de contenedor dedicados y siguiendo la guía de Docker en AV, tenemos ciertos directorios excluidos. Todavía tenemos problemas con los contenedores que de alguna manera se conectan con los análisis bajo demanda, así que lo desactivamos. Aún tenemos problemas, por lo que excluimos más directorios. Al final, hemos desactivado partes de la solución de AV y hemos excluido cualquier directorio en el que los usuarios escriban, lo que, en mi opinión, hace que la solución de AV sea ineficaz. Así que tengo curiosidad por las respuestas de otras empresas, ya sea técnica (proveedor diferente, configuración en AV, etc.) o política (que no requiere AV en los hosts de Docker).

    
pregunta Mountainerd 19.08.2018 - 00:36
fuente

1 respuesta

1

Con un host contenedor de Docker, creo que la mejor pregunta que debe hacer para decidir su política es "¿qué amenazas tiene la dirección de Anti-Virus en este host"?

A-V está diseñado para detectar malware que se ejecuta en un host, por lo que la pregunta es, ¿cómo se puede introducir el malware en ese host? Para los contenedores Docker, eso vendría a través de las imágenes que se utilizan para crear los contenedores, o a través de los datos cargados en las aplicaciones que se ejecutan en los contenedores en el host.

Para el primer riesgo, es probable que una mejor solución sea escanear las imágenes A-V como parte del proceso de compilación, junto con otras comprobaciones de seguridad como la evaluación de vulnerabilidad. Suponiendo que esté utilizando herramientas comunes de tuberías de CI / CD como Jenkins, debería ser posible integrar un escáner A-V en sus tuberías.

Para el segundo riesgo, si está pensando en archivos cargados como parte de la operación de la aplicación, entonces podría apuntar el escaneo A-V únicamente a los directorios utilizados por las aplicaciones para recibir archivos cargados. Como los contenedores Docker son generalmente efímeros, es probable que esté usando volúmenes externos para el almacenamiento de archivos cargados, lo que facilita la orientación de A-V a directorios específicos, en lugar de escanear todo el host.

El único otro escenario que viene a la mente sería cuando un atacante pudiera poner en peligro una aplicación que se ejecuta en un contenedor y las herramientas cargadas que un escáner A-V puede atrapar en el contenedor en ejecución. Para esto, es probable que necesite ejecutar un escáner dirigido a los directorios de Docker. Supongo que se trataría de una evaluación de riesgo en cuanto a si ese era un riesgo que consideraba lo suficientemente serio como para justificar el impacto del rendimiento de permitir que un escáner AV se ejecute. esas áreas.

    
respondido por el Rоry McCune 19.08.2018 - 15:45
fuente

Lea otras preguntas en las etiquetas

Categorizando el nombre del producto CVE Razones para hacer la transición de las aplicaciones web seguras de Kerberos a OAuth2 / OpenId