Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von...
Transcript of Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von...
![Page 1: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/1.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Infrastruktur im WandelIT-Sicherheit im Kontext vonContainer-Virtualisierung
![Page 2: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/2.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
„Erweiterte“ Chroot-Umgebung, bekannte Produkte:
linux vserver
OpenVZ / virtuozzo
LXC / docker
Alle Open Source
Projektseite: docker.io
Linux: In Standard-Distributionen enthalten:
apt-get install docker
Windows: basierend auf Windows Nano-Server und Hyper-V (nur 8 Images vorhanden)
Container Virtualisierung
![Page 3: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/3.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Univention Corporate Server (UCS)
bereits Dockerisierte Anwendungen:
ownCloud
OpenProject
SuiteCRM
Dudle
Horde
WildFly
Beispiel
![Page 4: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/4.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
![Page 5: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/5.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
![Page 6: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/6.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
CONTAINER /HOST KERNEL
LIBS
APP
LIBS
APP
LIBS
APP
FS/NET FS/NET FS/NET
Container Virtualisierung
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
![Page 7: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/7.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
CONTAINER /HOST KERNEL
LIBS
APP
LIBS
APP
LIBS
APP
FS/NET FS/NET FS/NET
Container Virtualisierung
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
![Page 8: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/8.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
CONTAINER /HOST KERNEL
LIBS
APP
LIBS
APP
LIBS
APP
FS/NET FS/NET FS/NET
Container Virtualisierung
![Page 9: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/9.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.V
T/O
SH
erst
elle
r
VT/
OS
Her
stel
ler
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
CONTAINER /HOST KERNEL
LIBS
APP
LIBS
APP
LIBS
APP
FS/NET FS/NET FS/NET
Container Virtualisierung
![Page 10: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/10.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigWas ist ?
HARDWARE / VM
HOST KERNEL
LIBS
APP APP APP
FS/NET
ohne Virtualisierung
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.V
T/O
SH
erst
elle
r
VT/
OS
Her
stel
ler
AP
PH
erst
elle
r
AP
PH
erst
elle
rK
ern
elH
erst
elle
r
Ker
nel
Her
stel
ler
HW
H
erst
.
HW
H
erst
.!!!
!
HARDWARE
HYPERVISOR
HOST KERNEL
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
GUESTKERNEL
LIBS
APP
OS Virtualisierung
HARDWARE / VM
CONTAINER /HOST KERNEL
LIBS
APP
LIBS
APP
LIBS
APP
FS/NET FS/NET FS/NET
Container Virtualisierung
![Page 11: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/11.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
CONTAINER
Angriffsszenarien
SERVICE
PORT
ANGRIFF
ANGRIFF
![Page 12: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/12.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
CONTAINER
Angriffsszenarien
SERVICE
PORT
ANGRIFF
ANGRIFF
![Page 13: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/13.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
CONTAINER
Angriffsszenarien
SERVICE
PORT
![Page 14: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/14.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigAngriffsszenarien
CONTAINERCONTAINER
RAM
FS
NETWORK
KERNEL
ANGRIFFANGRIFF
![Page 15: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/15.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - UnabhängigAngriffsszenarien
CONTAINERCONTAINER
OS BETRIEBSSYSTEM
CONTAINER
![Page 16: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/16.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Variante A: Vollständig herunter laden:
index.docker.io
hub.docker.com
store.docker.com
Variante B: Aus Host- (oder anderem) System generieren:
docker build
Nur wer die Open-Source-Komponenten und -Versionen kennt, kann beurteilen, ob Sicherheitsschwachstellen
vorhanden sind.
Provisionierung
![Page 17: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/17.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Wichtigste Faktoren:
Minimale Systeme
Apparmor und SELinux
Definierte Umgebung
Signierte Images
https://blogs.vmware.com/security/2015/05/vmware-releases-security-compliance-solution-docker-containers.html
Sicherheit
![Page 18: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/18.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Seccomp (Secure Computing Mode): Whitelist von System- Calls
Control Groups (cgroups): Ressourcenbeschränkung (gegen DoS)
Capabilitieschown, dac_override, fowner, kill, setgid, setuid, setpcap, net_bind_service, net_raw, sys_chroot,mknod, setfcap, audit_write fsetid
Einschränkungen: Privelegierte Container (z.B. cap net_admin)
Sicherheit (Details)
![Page 19: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/19.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Namespaces
UTS (Systemidentifikation): Eigener Host- und Domänennamen
IPC (Interprozess-Kommunikation): unabhängige IPC-Mechanismen
PID (Prozess-IDs): eigener Raum für die Prozess-IDs
MNT (Mountpoints des Dateisystems): Prozesse in unterschiedlichen Containern haben einen individuellen "View" auf das Dateisystem
NET (Netzwerkressourcen): Jeder Container hat eigenen Netzwerkstack, Netzwerkgerät, IP-Adresse und Routing-Tabelle.
Sicherheit (Details)
![Page 20: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/20.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Container-Virtualisierung vs. ohne Virtualisierung
Vorteil:
Bessere Abschottung der Services
Nachteil:
Höhere Komplexität
höherer Speicher-Bedarf
Maintenance der Bibliotheken schwierig
Matrix Vor- und Nachteile
![Page 21: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/21.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
OS-Virtualisierung vs. ohne Virtualisierung
Vorteil:
Bessere Abschottung der Services
Nachteil:
● Höherer Ressourcenbedarf
Matrix Vor- und Nachteile
![Page 22: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/22.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Container- vs. OS-Virtualisierung
Vorteil:
Einfachere Provisionierung
Skaliert im allgemeinen besser
weniger Ressourcenbedarf
Nachteil:
● Maintenance der Bibliotheken schwierig
● Schlechtere Abschottung der Container
● Gemeinsamer Kernel (Kernel-Update aufwändig)
Matrix Vor- und Nachteile
![Page 23: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/23.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
● Vordergründig: Höhere Sicherheit
● Im Detail:
– Maintenance unklar
– Keine richtige Virtualisierung (gemeinsamer Kernel / FS / ...)
– hohe Komplexität
Vieles noch unklar, aber Lösungsansätze sind vorhanden. Docker hat das Potenzial, sich zur Standard-Containertechnik zu entwickeln.
Augenmaß, Differenzierte Betrachtung und Abwarten!
Sicherheit (Fazit)
![Page 24: Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung. 3. TAG DER IT-SICHERHEIT IT – Kompetent - Unabhängig „Erweiterte“ Chroot-Umgebung,](https://reader034.fdocuments.net/reader034/viewer/2022042915/5f50a95d5c6aad693d4d5f64/html5/thumbnails/24.jpg)
3. TAG DER IT-SICHERHEIT
IT – Kompetent - Unabhängig
Vielen Dank für Ihre Aufmerksamkeit !
Andreas Niederländer