Infrastruktur im Wandel ... Infrastruktur im Wandel IT-Sicherheit im Kontext von...

download Infrastruktur im Wandel ... Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung

of 24

  • date post

    17-Jul-2020
  • Category

    Documents

  • view

    1
  • download

    0

Embed Size (px)

Transcript of Infrastruktur im Wandel ... Infrastruktur im Wandel IT-Sicherheit im Kontext von...

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - Unabhängig

    Infrastruktur im Wandel IT-Sicherheit im Kontext von Container-Virtualisierung

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - Unabhängig

    „Erweiterte“ Chroot-Umgebung, bekannte Produkte:

     linux vserver

     OpenVZ / virtuozzo

     LXC / docker

    Alle Open Source

    Projektseite: docker.io

    Linux: In Standard-Distributionen enthalten:

    apt-get install docker

    Windows: basierend auf Windows Nano-Server und Hyper-V (nur 8 Images vorhanden)

    Container Virtualisierung

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - Unabhängig

    Univention Corporate Server (UCS)

    bereits Dockerisierte Anwendungen:

     ownCloud

     OpenProject

     SuiteCRM

     Dudle

     Horde

     WildFly

    Beispiel

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - UnabhängigWas ist ?

    HARDWARE / VM

    HOST KERNEL

    LIBS

    APP APP APP

    FS/NET

    ohne Virtualisierung

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - UnabhängigWas ist ?

    HARDWARE

    HYPERVISOR

    HOST KERNEL

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    OS Virtualisierung

    HARDWARE / VM

    HOST KERNEL

    LIBS

    APP APP APP

    FS/NET

    ohne Virtualisierung

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - UnabhängigWas ist ?

    HARDWARE

    HYPERVISOR

    HOST KERNEL

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    OS Virtualisierung

    HARDWARE / VM

    CONTAINER / HOST KERNEL

    LIBS

    APP

    LIBS

    APP

    LIBS

    APP

    FS/NET FS/NET FS/NET

    Container Virtualisierung

    HARDWARE / VM

    HOST KERNEL

    LIBS

    APP APP APP

    FS/NET

    ohne Virtualisierung

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - UnabhängigWas ist ?

    HARDWARE

    HYPERVISOR

    HOST KERNEL

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    OS Virtualisierung

    HARDWARE / VM

    CONTAINER / HOST KERNEL

    LIBS

    APP

    LIBS

    APP

    LIBS

    APP

    FS/NET FS/NET FS/NET

    Container Virtualisierung

    HARDWARE / VM

    HOST KERNEL

    LIBS

    APP APP APP

    FS/NET

    ohne Virtualisierung

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - UnabhängigWas ist ?

    HARDWARE / VM

    HOST KERNEL

    LIBS

    APP APP APP

    FS/NET

    ohne Virtualisierung

    A P

    P H

    er st

    el le

    r

    A P

    P H

    er st

    el le

    r K

    er n

    el H

    er st

    el le

    r

    K er

    n el

    H er

    st el

    le r

    H W

    H

    er st

    .

    H W

    H

    er st

    .

    HARDWARE

    HYPERVISOR

    HOST KERNEL

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    OS Virtualisierung

    HARDWARE / VM

    CONTAINER / HOST KERNEL

    LIBS

    APP

    LIBS

    APP

    LIBS

    APP

    FS/NET FS/NET FS/NET

    Container Virtualisierung

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - UnabhängigWas ist ?

    HARDWARE / VM

    HOST KERNEL

    LIBS

    APP APP APP

    FS/NET

    ohne Virtualisierung

    A P

    P H

    er st

    el le

    r

    A P

    P H

    er st

    el le

    r K

    er n

    el H

    er st

    el le

    r

    K er

    n el

    H er

    st el

    le r

    H W

    H

    er st

    .

    H W

    H

    er st

    .

    A P

    P H

    er st

    el le

    r

    A P

    P H

    er st

    el le

    r K

    er n

    el H

    er st

    el le

    r

    K er

    n el

    H er

    st el

    le r

    H W

    H

    er st

    .

    H W

    H

    er st

    . V

    T/ O

    S H

    er st

    el le

    r

    V T/

    O S

    H er

    st el

    le r

    HARDWARE

    HYPERVISOR

    HOST KERNEL

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    OS Virtualisierung

    HARDWARE / VM

    CONTAINER / HOST KERNEL

    LIBS

    APP

    LIBS

    APP

    LIBS

    APP

    FS/NET FS/NET FS/NET

    Container Virtualisierung

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - UnabhängigWas ist ?

    HARDWARE / VM

    HOST KERNEL

    LIBS

    APP APP APP

    FS/NET

    ohne Virtualisierung

    A P

    P H

    er st

    el le

    r

    A P

    P H

    er st

    el le

    r K

    er n

    el H

    er st

    el le

    r

    K er

    n el

    H er

    st el

    le r

    H W

    H

    er st

    .

    H W

    H

    er st

    .

    A P

    P H

    er st

    el le

    r

    A P

    P H

    er st

    el le

    r K

    er n

    el H

    er st

    el le

    r

    K er

    n el

    H er

    st el

    le r

    H W

    H

    er st

    .

    H W

    H

    er st

    . V

    T/ O

    S H

    er st

    el le

    r

    V T/

    O S

    H er

    st el

    le r

    A P

    P H

    er st

    el le

    r

    A P

    P H

    er st

    el le

    r K

    er n

    el H

    er st

    el le

    r

    K er

    n el

    H er

    st el

    le r

    H W

    H

    er st

    .

    H W

    H

    er st

    . !!!

    !

    HARDWARE

    HYPERVISOR

    HOST KERNEL

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    GUEST KERNEL

    LIBS

    APP

    OS Virtualisierung

    HARDWARE / VM

    CONTAINER / HOST KERNEL

    LIBS

    APP

    LIBS

    APP

    LIBS

    APP

    FS/NET FS/NET FS/NET

    Container Virtualisierung

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - Unabhängig

    CONTAINER

    Angriffsszenarien

    SERVICE

    PORT

    AN GR

    IFF

    AN GR

    IFF

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - Unabhängig

    CONTAINER

    Angriffsszenarien

    SERVICE

    PORT

    AN GR

    IFF

    AN GR

    IFF

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - Unabhängig

    CONTAINER

    Angriffsszenarien

    SERVICE

    PORT

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - UnabhängigAngriffsszenarien

    CONTAINERCONTAINER

    RAM

    FS

    NETWORK

    KERNEL

    ANGRIFFANGRIFF

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - UnabhängigAngriffsszenarien

    CONTAINERCONTAINER

    OS BETRIEBSSYSTEM

    CONTAINER

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - Unabhängig

    Variante A: Vollständig herunter laden:

     index.docker.io

     hub.docker.com

     store.docker.com

    Variante B: Aus Host- (oder anderem) System generieren:

     docker build

    Nur wer die Open-Source-Komponenten und -Versionen kennt, kann beurteilen, ob Sicherheitsschwachstellen

    vorhanden sind.

    Provisionierung

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - Unabhängig

    Wichtigste Faktoren:

     Minimale Systeme

     Apparmor und SELinux

     Definierte Umgebung

     Signierte Images

    https://blogs.vmware.com/security/2015/05/vmware-releases-security- compliance-solution-docker-containers.html

    Sicherheit

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - Unabhängig

     Seccomp (Secure Computing Mode): Whitelist von System- Calls

     Control Groups (cgroups): Ressourcenbeschränkung (gegen DoS)

     Capabilities chown, dac_override, fowner, kill, setgid, setuid, setpcap, net_bind_service, net_raw, sys_chroot, mknod, setfcap, audit_write fsetid

    Einschränkungen: Privelegierte Container (z.B. cap net_admin)

    Sicherheit (Details)

  • 3. TAG DER IT-SICHERHEIT

    IT – Kompetent - Unabhängig

     Namespaces

     UTS (Systemidentifikation): Eigener Host- und Domänennamen

     IPC (Interprozess-Kommunikation): unabhängige IPC-Mechanismen

     PID (Prozess-IDs): eigener Raum für die Pr