Sécurité

Gestion des secrets sous Docker Qu’est-ce qu’un secret et pourquoi en auriez-vous besoin ? Docker Secret permet de partager des informations sensibles entre services d’un cluster Swarm. Ces infos sensibles sont des infos qui n’ont rien à faire dans des Dockerfiles ou des docker-compose.yml, et qui ne doivent surtout pas être posées sur des dépôts Git. Logins/Phrases de passe Certificats TLS Clés TLS, SSH, GPG, Tokens d’APIs Infos sensibles : Noms des serveurs, des bases de données, … Créer et partager un secret A la base, le secret peut être écrit dans un fichier ou venir de la sortie standard : »

Chapitre final : Le test ultime   Docker Bench Security   Vous saurez très vite si vous avez suivi les recommandations de sécurité Docker en utilisant ce petit script qui n’a l’air de rien mais qui en dit long.   git clone https://github.com/docker/docker-bench-security.git cd docker-bench-security ./docker-bench-security.sh   Verdict ? Plus il y a de rouge et plus c’est méchant !   La checklist du SANS :   »

Droits Unix sur les fichiers du conteneur :   Tout comme dans un système Linux/Unix classique, il faut faire attention aux droits sur les fichiers à l’intérieur du conteneur. Quand vous construisez une image à partir d’un Dockerfile, les fichiers copiés de votre répertoire vers votre image sont copiés avec les mêmes droits. Du coup, un fichier trop permissif peut être problématique.   Images maisons :   Ne pas stocker de secrets dans les Dockerfiles ou dans les variables d’environnement. »

Chapitre III : Utilisateurs   Docker ne doit pas être contrôlé par root :   Vous devez utiliser un compte standard pour manipuler vos containers et vos images Docker. C’est très simple, il suffit que votre utilisateur appartienne au groupe docker : sudo adduser moi docker docker run ...   Les conteneurs ne doivent pas être lancés par root :   Un conteneur ne doit pas être lancé en tant qu’utilisateur root sauf s’il y a une utilité particulière. »

Chapitre II : Réseau   Isoler les réseaux :   Les piles de logiciels ou les différents types de réseaux doivent être isolés dans des réseaux logiques séparés. Créer un réseau par stack logicielle : docker network create <nomdureseau> # Attacher les containers au réseau qui va bien docker network disconnect bridge <leconteneur> docker network connect <nomdureseau> <leconteneur>   Désactiver la communication inter conteneurs (ICC) :   »

Après plusieurs années d’expérience, je pourrais résumer Docker en un outil très utile, facile à prendre en main mais vraiment difficile à maîtriser. Le côté « facilité de déploiement » de départ masque les problèmes de sécurité inhérents à la technologie des containers. Or si Docker était encore pointé du doigt pour ses lacunes sécuritaires il y a quelques années, force est de constater que des efforts ont été faits dans ce domaine si on veut bien se donner la peine de mettre les mains dans le cambouis. »

Ne vous laissez pas surprendre par les failles de sécurité de vos différents logiciels sous Linux. De la même manière que sous Windows, je vous recommande fortement d’activer les mises à jour de sécurité automatiques. Les mises à jour de sécurité ne changent pas les fonctionnalités de vos logiciels. Si vous êtes en production, ça n’aura pas plus d’impact que de patcher les failles de sécurité.   Sous Debian et dérivés (Ubuntu, Mint, …) :   »

Vous avez beau faire des efforts pour mettre en œuvre les bonnes pratiques de sécurité dans votre infrastructure, le maillon faible reste souvent l’utilisateur et son poste de travail. Pour travailler là-dessus, rien de tel que la sensibilisation. Pour vous aider aux campagnes d’affichage, un certain nombre de ressources sont disponibles en ligne : Posters et autres ressources du CERN Posters de l’ENISA pour le mois de la cybersécurité 2014 Posters du SANS (en anglais et pour informaticiens)   »

Autant vous prévenir tout de suite : Francophones unilingues, passez votre chemin ! Pour les autres, voici un panaché des sites que j’utilise pour ma veille en sécurité informatique :   Sites/blogs sur la sécurité : Securelist par Kaspersky Security Blog de Google Krebs on security Le blog du Hacker   Sites recensant les CVE (failles de sécurité officiellement reconnues) : CVE details par le MITRE : Liste les CVE mais tous les éditeurs n’y figurent pas. »

Le Mitre, une association américaine à but non lucratif a mis en ligne une base de connaissance classifiant et documentant les différents risques et leur place dans les différentes phases d’une attaque. Toutes les principales plateformes sont inclues dans cet inventaire d’attaques connues (Windows, Mac, Linux). Il y a également une matrice spécifique pour les plateformes mobiles. Une bonne référence pour faire le point sur la sécurité de votre parc informatique. »