В марте текущего года Натан Макколи и Диого Моника присоединились к Docker, чтобы возглавить команду по обеспечению безопасности контейнерной виртуализации. Сейчас, всего два месяца спустя, первые результаты их работы были зафиксированы в новом типовом регламенте некоммерческой организации Center for Internet Security (CIS), посвященном Docker Engine версии 1.6.
Макколи совместно с представителями VMware, Rakuten, Cognitive Scale и International Securities Exchange работал совместно с CIS, чтобы создать регламент, определяющий лучшие практики по безопасному развертыванию Docker Engine версии 1.6. Docker Engine — это центральный компонент контейнерной виртуализации Docker. Версия 1.6 вышла
Базовый регламент CIS по Docker Engine 1.6, содержит ни много ни мало 119 страниц.
Правин Гойял, старший технический специалист VMware, соавтор регламента CIS по Docker, сообщил в своем блоге, что регламент содержит 84 рекомендации.
«Целью данного регламента по безопасности, как и любого подобного документа, является указание конфигурационных параметров и других аспектов развертывания безопасных решений, — пишет Гойял. — Документ составлен как конкретное справочное руководство для пользователей, желающих научиться правильно и безопасно развертывать контейнеры в промышленной среде Linux».
Регламент определяет шесть ключевых разделов лучших практик по развертыванию Docker. Первый раздел посвящен конфигурированию хостовой операционной системы, в которой планируется развернуть Docker Engine. Типовой регламент CIS рекомендует использовать для контейнеров отдельную партицию, а также убедиться, что ядро Linux обновлено до наиболее свежей версии.
Следующий раздел — конфигурирование демона (системного процесса), собственно исполняющего Docker Engine. Регламент CIS советует ограничить сетевой трафик между контейнерами и сконфигурировать аутентификацию TLS (Transport Layer Security). В третьем разделе говорится о конфигурации демона Docker для задания требуемого набора прав на файлы.
Четвертый раздел содержит рекомендации по созданию образа контейнера — в частности, не следует включать в контейнер ненужные пакеты. В пятом разделе говорится о среде исполнения контейнера — дана рекомендация использовать механизм жесткого контроля прав в Linux, в частности SELinux (Security Enhanced LInux) и AppArmor.
И, наконец, шестой раздел отчета касается регламентных работ по поддержке безопасности. Одна их важнейших рекомендаций — проводить регулярный аудит безопасности как в отношении хоста, так и самих контейнеров.
Компания Docker также опубликовала краткое (8 стр.) введение в типовой регламент, дающее пользователям общее представление о том, как можно и нужно развертывать Docker безопасным образом, об ограничениях на процессы, защите образа приложения и других доступных механизмах безопасности.
В дополнение ко всему Docker опубликовал специальную веб-страницу, посвященную безопасности; на этой странице для интересующихся доступны детальные отчеты об обнаруженных уязвимостях.
В целом, благодаря появлению регламента CIS, краткого введения в безопасность контейнеров и специальной веб-страницы, посвященной безопасности, Docker заметно продвинулся в данном направлении, дав пользователям четкие рекомендации по обеспечению безопасности своих контейнерных решений.