Docker + AV sull'host

Naviga le tue risposte
0

Ho scavato nella storia di questo sito (che inevitabilmente significa che qualcuno pubblicherà come mi sono perso) e non ho trovato nulla che riguardasse direttamente la mia domanda.

Qual è stata la soluzione tipica quando si eseguiva la finestra mobile, ma si cercava ancora di soddisfare i requisiti di sicurezza?

Il caso d'uso particolare è che abbiamo host di contenitori dedicati e che seguono la guida Docker sull'AV, escludendo determinate directory. Abbiamo ancora problemi con i contenitori che in qualche modo vengono inseriti nelle scansioni su richiesta, quindi lo disattiviamo. Ancora problemi, quindi escludiamo più directory. Alla fine abbiamo disattivato parti della soluzione AV ed escluso qualsiasi directory in cui gli utenti avrebbero scritto, il che, a mio parere, rende la soluzione AV inefficace. Quindi sono curioso di sapere quali sono state le risposte di altre aziende, sia che si tratti di aspetti tecnici (diversi fornitori, impostazioni in AV, ecc.) Che di criteri (non richiedono AV su host Docker).

    
posta Mountainerd 19.08.2018 - 00:36
fonte

1 risposta

1

Con un host di contenitore Docker, penso che la migliore domanda da porsi in termini di decisione sulla tua politica sia "quali minacce ha l'indirizzo anti-virus su questo host"?

A-V è progettato per catturare malware in esecuzione su un host, quindi la domanda diventa, come può essere introdotto malware su quell'host. Per i contenitori Docker, ciò avverrà tramite le immagini utilizzate per creare i contenitori o tramite i dati caricati nelle applicazioni in esecuzione nei contenitori sull'host.

Per il primo rischio, una soluzione migliore sarebbe probabilmente quella di eseguire la scansione delle immagini come parte del processo di costruzione, insieme ad altri controlli di sicurezza come la valutazione della vulnerabilità. Supponendo che tu stia utilizzando strumenti comuni di pipeline CI / CD come Jenkins, dovrebbe essere possibile integrare uno scanner A-V nelle condutture.

Per il secondo rischio, se stai pensando ai file caricati come parte del funzionamento dell'applicazione, allora potresti scegliere come target la scansione A-V esclusivamente nelle directory utilizzate dalle applicazioni per ricevere i file caricati. Poiché i contenitori Docker sono generalmente effimeri, probabilmente utilizzeresti volumi esterni per la memorizzazione dei file caricati, il che rende facile indirizzare A-V su directory specifiche, anziché eseguire la scansione dell'intero host.

L'unico altro scenario che viene in mente potrebbe essere il punto in cui un utente malintenzionato è stato in grado di compromettere un'applicazione in esecuzione in un contenitore e gli strumenti caricati che potrebbero essere catturati da uno scanner A-V nel contenitore in esecuzione. Per questo è probabile che tu debba eseguire uno scanner che ha come target le directory Docker, immagino che verrebbe alla tua valutazione del rischio se si tratta di un rischio che consideri abbastanza serio da giustificare l'impatto sulle prestazioni di consentire a uno scanner AV di funzionare in quelle aree.

    
risposta data 19.08.2018 - 15:45
fonte

Leggi altre domande sui tag

Guida per rivedere l'algoritmo 2FA Quali sono i rischi legati all'inserimento di nomi di risorse Amazon (ARN) nei repository VCS?