osquery nell'ambiente Docker

Naviga le tue risposte
1

Attualmente sto ricercando il monitoraggio della sicurezza negli ambienti Docker e desidero esplorare la possibilità di utilizzare osquery per raccogliere attività dai contenitori, ma ho eseguito in un po 'di un dilemma di sicurezza che vorrei alcuni pensieri e feedback su:

L'esecuzione di osquery su ogni contenitore Docker nell'infrastruttura fornirebbe un'eccellente consapevolezza della situazione, ma sfortunatamente l'osquery non può essere eseguito su Alpine Linux distro, il che significa che l'intera flotta di container Docker dovrebbe essere basata su immagini molto più gonfie come Debian o Ubuntu con una superficie di attacco molto più grande e possibilità per un attaccante, se ottengono l'accesso a un contenitore.

È pratica comune mettere l'osquery sui contenitori, o dovrebbero semplicemente essere trattati come animali stupidi con una superficie di attacco minima che può essere sparata se mostra segni di stranezza, e poi avere un monitoraggio avanzato sulle macchine host Docker?

    
posta Heyerinty 27.05.2018 - 10:01
fonte

1 risposta

1

La finestra mobile non ha mai come obiettivo la sicurezza e la separazione dei privilegi. L'obiettivo mirato di Docker è di essere in grado di installare e distribuire rapidamente contenitori per qualsiasi cosa, su qualsiasi cosa.

Per questo motivo, è prassi comune mettere qualsiasi cosa nei contenitori docker, inclusi gli strumenti di sicurezza, ma è non indurito a scoppiare da un contenitore nella macchina fisica (sebbene ciò avvenga più difficile come sembra).

Non è una pratica comune scaricare un contenitore docker, scrivere uno script lungo 10 righe e funzionerà come un incantesimo. Sì, questo è ciò che offre la finestra mobile, ma non lo soddisfa. La sua ragione principale è la sicurezza - non essendo realmente temprati dalla sicurezza, hanno bisogno di disabilitare molte importanti funzionalità del kernel linux (per esempio, hanno semplicemente disabilitato i socket del datagramma unix, questo è il motivo per cui syslogd non funziona molto bene contenitori docker).

Se osquery funziona su almeno due diverse famiglie di distri (basate su deb e rpm), allora sì, dovrebbe funzionare anche su Alpine. Ma è compito tuo farlo funzionare.

Quindi, puoi far funzionare osquery , ma non sarà facile. Dovrai scavare in profondità sia in osquery, alpha e docker. Di conseguenza, sarai in grado di creare un contenitore di finestra mobile di osquery, ciò che sarai in grado di utilizzare come base per ulteriori sviluppi.

    
risposta data 28.05.2018 - 00:04
fonte

Leggi altre domande sui tag

L'attacco Bypass del negozio speculativo richiede conoscenza di assembly / codice sorgente? Test di penetrazione dell'ambiente IaaS / PaaS - Punteggio CVSS