Tình trạng an toàn của đồ chứa (container)

The state of container security

Posted 20 Jan 2016 by Andrew Thornton (Red Hat)

Theo: https://opensource.com/business/16/1/scale14x-interview-thomas-cameron-red-hat

Bài được đưa lên Internet ngày: 20/01/2016

Kiến trúc sư trưởng của Red Hat ở Mỹ, Thomas Cameron, đã làm việc trong nền công nghiệp CNTT từ năm 1993, và đã làm việc với giới công nghiệp trải từ sản xuất công nghệ cao, các dịch vụ tài chính đa quốc gia, các dịch vụ CNTT, giáo dục, sản xuất năng lượng, giao thông, và các dịch vụ bán lẻ phạm vi rộng.

Trước khi có 2 bài trình chiếu của ông tại Triển lãm Linux thường niên lần thứ 14 ở Nam California (SCaLE 14x) năm nay - Sự giới thiệu về An toàn đồ chứa (An Introduction to Container Security) và Gluster Quickstart - tôi đã gặp được Thomas để thảo luận về an ninh của các đồ chứa.

Hỏi và Đáp

Các đặc tính an toàn nào từ cộng đồng mà ông thích thú trong tương lai của Docker?

Vâng, cá nhân tôi thích Linux có Cải tiến về An toàn (SELinux), vì thế đối với tôi, SELinux là đặc tính an toàn thú vị nhất trong các đồ chứa ngày nay. Khi bạn nhìn vào thực chất rằng dạng an toàn tăng cường và đa chủng loại (MCS) được chào, chúng làm gia tăng mạnh an toàn được chào khi chạy nhiều khung và ứng dụng khác nhau trong một máy chủ hoặc máy ảo (VM) duy nhất.

SELinux cung cấp một con đường sáng giữa các đồ chứa khác nhau, sao cho thậm chí nếu ứng dụng của một đồ chứa bị tổn thương, thì phần còn lại của hệ thống vẫn an toàn.

Sau SELinux, tôi nghĩ là không gian tên (namespacing) là đặc tính an toàn tuyệt vời. Khả năng của máy chủ ảo hóa các hệ thống tệp, kết nối mạng, mã ID quy trình, những người sử dụng, và hơn thế nữa cung cấp sự cô lập của từng đồ chứa, bảo vệ các đồ chứa khác và máy chủ khỏi bị tấn công.

Một đặc tính an toàn rất hay khác là các khả năng của Linux (libcap). Các khả năng của Linux là một cơ chế ở đó các bộ lọc có thể được áp dụng cho các khả năng mà nhân Linux cung cấp, loại bỏ những điều giống như quản lý mạng và phần cứng đối với đồ chứa. Điều này không chỉ đơn giản hóa quản lý đồ chứa, mà còn làm cho các đồ chứa an toàn hơn.

Tôi sẽ trình bày tất cả các đặc tính đó trong bài nói chuyện của tôi ở SCaLE 14x năm nay.

Đâu là các sai lầm chung về an toàn phải tránh khi triển khai các đồ chứa?

Đừng có áp dụng tư duy “đốt và quên”. Hãy nhớ rằng, chỉ khi bạn phải bám theo các bản cập nhật hệ điều hành của bạn, bạn cần phải chắc chắn rằng các nội dung đồ chứa của bạn được cập nhật, cũng vậy. Là bản chất tự nhiên của con người đối với đám đông để hoàn tất một dự án và chuyển sang dự án tiếp theo, nhưng với các đồ chứa, chúng ta thực sự phải tập trung vào an toàn và tính bền vững của các đồ chứa đó.

Làm thế nào ông làm dịu bớt được các lo lắng về an toàn của nhiều đồ chứa đang chạy trên cùng một máy chủ?

Đây là sự quá đơn giản hóa nói chung, nhưng nhiều đồ chứa trên một máy chủ chỉ là bước logic tiếp sau từ nhiều máy ảo trên một máy chủ. Vì các đồ chứa đó được kiểm soát chặt chẽ bởi các khả năng đặt không gian tên của nhân, của SELinux, của nhân Linux, và tương tự, bạn có thể được đảm bảo rằng rủi ro là tối thiểu.

SCaLE là hội nghị về phần mềm tự do nguồn mở lớn nhất do cộng động tổ chức ở Bắc Mỹ. Loạt bài về SCaLE 14x cung cấp các cuộc phỏng vấn và các báo cáo của các diễn giả để xem trước về sự kiện đó của năm 2016.

Chief Architect for the central US at Red Hat, Thomas Cameron, has been in the information technology industry since 1993, and has worked with industries ranging from high tech manufacturing, multinational financial services, information technology services, education, energy production, transportation, and large scale retail services.

Prior to his two presentations at 14th annual Southern Californian Linux Expo (SCaLE 14x) this year—An Introduction to Container Security and Gluster Quickstart—I caught up with Thomas to discuss container security.

Q&A

What security features from the community are you excited about in Docker's future?

Well, I'm personally biased about Security Enhanced Linux (SELinux), so to me, SELinux is the most exciting security feature in containers today. When you look at the granularity that type enforcement and multi-category security (MCS) offer, they massively increase the security offered when running multiple different frameworks and applications on a single host or virtual machine (VM).

SELinux provides a bright, shining line between different containers, so that even if one container's app is compromised, the rest of the system is safe.

After SELinux, I think that namespacing is a fantastic security feature. The ability of the host to abstract filesystems, networking, process IDs, users, and so on provides isolation of each container, protecting other containers and the host from attack.

One other very cool security feature is Linux capabilities (libcap). Linux capabilities is a mechanism whereby filters can be applied to the capabilities that the Linux kernel provides, excluding things like network and hardware management for the container. Not only does this simplify container management, it also makes containers more secure.

I'll demonstrate all of these features during my talk at SCaLE 14x this year.

What are common security mistakes to avoid when deploying containers?

Don't adopt a "fire and forget" mindset. Remember that, just as you have to keep up with updates of your operating system, you need to make sure that the contents of your container are kept up to date, as well. It's human nature for folks to finish a project and move on to the next, but with containers, we really have to focus on security and sustainability of those containers.

How would you alleviate concerns over security of multiple containers running on the same host?

This is a gross over-simplification, but multiple containers on a host is just the next logical step from multiple virtual machines on a host. Because those containers are tightly controlled by the kernel namespaced, Security Enhanced Linux, Linux kernel capabilities, and the like, you can be assured that the risk is minimal.

SCaLE is the largest community-run open-source and free software conference in North America. The SCaLE 14x series provides preview speaker interviews and reports on the 2016 event.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com