Konteneryzacja to dzi\u015b standard \u2013 Docker i Kubernetes s\u0105 wsz\u0119dzie. U\u0142atwiaj\u0105 wdro\u017cenia, skalowanie i zarz\u0105dzanie aplikacjami. Ale jest jeden szczeg\u00f3\u0142, o kt\u00f3rym wielu zapomina: domy\u015blna konfiguracja kontener\u00f3w nie jest bezpieczna.<\/p>\n
Widz\u0119 to niemal u ka\u017cdego klienta, kt\u00f3ry przychodzi z pro\u015bb\u0105 o audyt infrastruktury. Kontenery dzia\u0142aj\u0105 z uprawnieniami roota, wsp\u00f3\u0142dziel\u0105 j\u0105dro systemu i cz\u0119sto maj\u0105 dost\u0119p do niepotrzebnych zasob\u00f3w. Problem w tym, \u017ce te luki nie s\u0105 od razu widoczne \u2013 dop\u00f3ki nie dojdzie do incydentu.<\/p>\n
W tym artykule poka\u017c\u0119 trzy najcz\u0119stsze b\u0142\u0119dy w izolacji kontener\u00f3w, kt\u00f3re realnie nara\u017caj\u0105 Tw\u00f3j biznes na ryzyko, i podpowiem, jak je naprawi\u0107.<\/p>\n
Domy\u015blnie procesy wewn\u0105trz kontenera Docker dzia\u0142aj\u0105 z uprawnieniami roota. W teorii to nic z\u0142ego, bo kontener jest odizolowany od hosta. W praktyce \u2013 je\u015bli atakuj\u0105cy przejmie kontrol\u0119 nad kontenerem, mo\u017ce pr\u00f3bowa\u0107 wydosta\u0107 si\u0119 poza jego granice.<\/p>\n
Przyk\u0142ad z \u017cycia:<\/strong><\/p>\n Pracowa\u0142em niedawno z firm\u0105 SaaS, kt\u00f3rej pipeline CI\/CD opiera\u0142 si\u0119 na obrazach pobranych z publicznego rejestru. Jeden z obraz\u00f3w zawiera\u0142 backdoor umo\u017cliwiaj\u0105cy eskalacj\u0119 uprawnie\u0144. Poniewa\u017c kontener dzia\u0142a\u0142 jako root, atakuj\u0105cy m\u00f3g\u0142 \u0142atwo uzyska\u0107 dost\u0119p do systemu plik\u00f3w hosta.<\/p>\n Jak temu zaradzi\u0107?<\/strong><\/p>\n Kontenery cz\u0119sto maj\u0105 dost\u0119p do sieci hosta, system\u00f3w plik\u00f3w lub urz\u0105dze\u0144, kt\u00f3re wcale nie s\u0105 im potrzebne. Mapowanie port\u00f3w, montowanie wolumin\u00f3w czy u\u017cywanie sieci host \u2013 ka\u017cde z tych dzia\u0142a\u0144 poszerza powierzchni\u0119 ataku.<\/p>\n Przyk\u0142ad z \u017cycia:<\/strong><\/p>\n W jednym z projekt\u00f3w e-commerce zesp\u00f3\u0142 montowa\u0142 wolumen z danymi produkcyjnymi do wszystkich kontener\u00f3w, \u017ceby \u201eby\u0142o wygodnie\u201d. W efekcie kontener z panelem administracyjnym mia\u0142 dost\u0119p do bazy z danymi klient\u00f3w. Wystarczy\u0142 b\u0142\u0105d w logowaniu, by dosz\u0142o do wycieku.<\/p>\n Jak temu zaradzi\u0107?<\/strong><\/p>\n Pullowanie obraz\u00f3w z Docker Hub czy innych rejestr\u00f3w publicznych to wygoda, ale te\u017c ryzyko. Obrazy mog\u0105 zawiera\u0107 luki, backdoory lub po prostu by\u0107 nieaktualne. Nawet oficjalne obrazy czasem maj\u0105 b\u0142\u0119dy.<\/p>\n Statystyka:<\/strong> Jak temu zaradzi\u0107?<\/strong><\/p>\n Oto kilka konkretnych krok\u00f3w, kt\u00f3re warto wdro\u017cy\u0107:<\/p>\n Izolacja kontener\u00f3w to nie fanaberia, a konieczno\u015b\u0107. Domy\u015blne ustawienia Docker’a s\u0105 wygodne, ale niebezpieczne. Drobne zmiany \u2013 jak zmiana u\u017cytkownika, ograniczenie dost\u0119pu czy skanowanie obraz\u00f3w \u2013 mog\u0105 uchroni\u0107 Tw\u00f3j biznes przed powa\u017cnym incydentem.<\/p>\n Je\u015bli potrzebujesz audytu bezpiecze\u0144stwa swojej infrastruktury kontenerowej, skontaktuj si\u0119 z nami. Pomagamy firmom budowa\u0107 bezpieczne i wydajne \u015brodowiska od lat.<\/p>\n","protected":false},"excerpt":{"rendered":" Wst\u0119p Konteneryzacja to dzi\u015b standard \u2013 Docker i Kubernetes s\u0105 wsz\u0119dzie. U\u0142atwiaj\u0105 wdro\u017cenia, skalowanie i zarz\u0105dzanie aplikacjami. Ale jest jeden szczeg\u00f3\u0142, o kt\u00f3rym wielu zapomina: domy\u015blna konfiguracja kontener\u00f3w nie jest bezpieczna. Widz\u0119 to niemal u ka\u017cdego klienta, kt\u00f3ry przychodzi z pro\u015bb\u0105 o audyt infrastruktury. Kontenery dzia\u0142aj\u0105 z uprawnieniami roota, wsp\u00f3\u0142dziel\u0105 j\u0105dro systemu i cz\u0119sto maj\u0105<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[680,195,117,425],"class_list":["post-1948","post","type-post","status-publish","format-standard","hentry","category-warto-wiedziec","tag-bezpieczenstwo-kontenerow","tag-devsecops","tag-docker","tag-infrastruktura-it"],"_links":{"self":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/posts\/1948","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/comments?post=1948"}],"version-history":[{"count":0,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/posts\/1948\/revisions"}],"wp:attachment":[{"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/media?parent=1948"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/categories?post=1948"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/news.jurskitech.pl\/blog\/wp-json\/wp\/v2\/tags?post=1948"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
USER<\/code> w Dockerfile, aby uruchamia\u0107 procesy z nieuprzywilejowanego konta.<\/li>\nB\u0142\u0105d #2: Zbyt szeroki dost\u0119p do zasob\u00f3w hosta<\/h2>\n
\n
--device<\/code> tylko w razie potrzeby).<\/li>\n<\/ul>\nB\u0142\u0105d #3: Zaufanie do publicznych obraz\u00f3w bez weryfikacji<\/h2>\n
\nWed\u0142ug raportu z 2024, ponad 50% obraz\u00f3w w popularnych rejestrach zawiera krytyczne podatno\u015bci. A wiele firm nie skanuje ich przed wdro\u017ceniem.<\/p>\n\n
Dobre praktyki izolacji \u2013 checklista<\/h2>\n
\n
Podsumowanie<\/h2>\n