Chapitre final : Le test ultime Docker Bench Security Vous saurez très vite si vous avez suivi les recommandations de sécurité Docker en utilisant ce petit script qui n’a l’air de rien mais qui en dit long. git clone https://github.com/docker/docker-bench-security.git cd docker-bench-security ./docker-bench-security.sh Verdict ? Plus il y a de rouge et plus c’est méchant ! La checklist du SANS : »
Droits Unix sur les fichiers du conteneur : Tout comme dans un système Linux/Unix classique, il faut faire attention aux droits sur les fichiers à l’intérieur du conteneur. Quand vous construisez une image à partir d’un Dockerfile, les fichiers copiés de votre répertoire vers votre image sont copiés avec les mêmes droits. Du coup, un fichier trop permissif peut être problématique. Images maisons : Ne pas stocker de secrets dans les Dockerfiles ou dans les variables d’environnement. »
Chapitre III : Utilisateurs Docker ne doit pas être contrôlé par root : Vous devez utiliser un compte standard pour manipuler vos containers et vos images Docker. C’est très simple, il suffit que votre utilisateur appartienne au groupe docker : sudo adduser moi docker docker run ... Les conteneurs ne doivent pas être lancés par root : Un conteneur ne doit pas être lancé en tant qu’utilisateur root sauf s’il y a une utilité particulière. »
Chapitre II : Réseau Isoler les réseaux : Les piles de logiciels ou les différents types de réseaux doivent être isolés dans des réseaux logiques séparés. Créer un réseau par stack logicielle : docker network create <nomdureseau> # Attacher les containers au réseau qui va bien docker network disconnect bridge <leconteneur> docker network connect <nomdureseau> <leconteneur> Désactiver la communication inter conteneurs (ICC) : »
Après plusieurs années d’expérience, je pourrais résumer Docker en un outil très utile, facile à prendre en main mais vraiment difficile à maîtriser. Le côté « facilité de déploiement » de départ masque les problèmes de sécurité inhérents à la technologie des containers. Or si Docker était encore pointé du doigt pour ses lacunes sécuritaires il y a quelques années, force est de constater que des efforts ont été faits dans ce domaine si on veut bien se donner la peine de mettre les mains dans le cambouis. »
Ne vous laissez pas surprendre par les failles de sécurité de vos différents logiciels sous Linux. De la même manière que sous Windows, je vous recommande fortement d’activer les mises à jour de sécurité automatiques. Les mises à jour de sécurité ne changent pas les fonctionnalités de vos logiciels. Si vous êtes en production, ça n’aura pas plus d’impact que de patcher les failles de sécurité. Sous Debian et dérivés (Ubuntu, Mint, …) : »
Vous avez beau faire des efforts pour mettre en œuvre les bonnes pratiques de sécurité dans votre infrastructure, le maillon faible reste souvent l’utilisateur et son poste de travail. Pour travailler là-dessus, rien de tel que la sensibilisation. Pour vous aider aux campagnes d’affichage, un certain nombre de ressources sont disponibles en ligne : Posters et autres ressources du CERN Posters de l’ENISA pour le mois de la cybersécurité 2014 Posters du SANS (en anglais et pour informaticiens) »
Autant vous prévenir tout de suite : Francophones unilingues, passez votre chemin ! Pour les autres, voici un panaché des sites que j’utilise pour ma veille en sécurité informatique : Sites/blogs sur la sécurité : Securelist par Kaspersky Security Blog de Google Krebs on security Le blog du Hacker Sites recensant les CVE (failles de sécurité officiellement reconnues) : CVE details par le MITRE : Liste les CVE mais tous les éditeurs n’y figurent pas. »
Le Mitre, une association américaine à but non lucratif a mis en ligne une base de connaissance classifiant et documentant les différents risques et leur place dans les différentes phases d’une attaque. Toutes les principales plateformes sont inclues dans cet inventaire d’attaques connues (Windows, Mac, Linux). Il y a également une matrice spécifique pour les plateformes mobiles. Une bonne référence pour faire le point sur la sécurité de votre parc informatique. »
Si vous venez du monde de la technique, plutôt que celui du management et que vous commencez à prendre en compte les problématiques de sécurité dans votre structure, vous risquez peut-être d’être noyé par la masse de projets à mener de front : Cartographie des risques Rédaction d’une charte ou d’une politique de sécurité Mise en place d’un système de management de la sécurité Mise en œuvre de mesures techniques Audit de sécurité »