Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von...

3. TAG DER IT-SICHERHEIT

IT – Kompetent - Unabhängig

Infrastruktur im WandelIT-Sicherheit im Kontext vonContainer-Virtualisierung



„Erweiterte“ Chroot-Umgebung, bekannte Produkte:

linux vserver

OpenVZ / virtuozzo

LXC / docker

Alle Open Source

Projektseite: docker.io

Linux: In Standard-Distributionen enthalten:

apt-get install docker

Windows: basierend auf Windows Nano-Server und Hyper-V (nur 8 Images vorhanden)

Container Virtualisierung



Univention Corporate Server (UCS)

bereits Dockerisierte Anwendungen:

ownCloud

OpenProject

SuiteCRM

Dudle

Horde

WildFly

Beispiel


IT – Kompetent - UnabhängigWas ist ?

HARDWARE / VM

HOST KERNEL

LIBS

APP APP APP

FS/NET

ohne Virtualisierung



HARDWARE

HYPERVISOR

HOST KERNEL

GUESTKERNEL

LIBS

APP

GUESTKERNEL

LIBS

APP

GUESTKERNEL

LIBS

APP

OS Virtualisierung

HARDWARE / VM

HOST KERNEL

LIBS

APP APP APP

FS/NET




HARDWARE

HYPERVISOR

HOST KERNEL

GUESTKERNEL

LIBS

APP

GUESTKERNEL

LIBS

APP

GUESTKERNEL

LIBS

APP

OS Virtualisierung

HARDWARE / VM

CONTAINER /HOST KERNEL

LIBS

APP

LIBS

APP

LIBS

APP

FS/NET FS/NET FS/NET


HARDWARE / VM

HOST KERNEL

LIBS

APP APP APP

FS/NET




HARDWARE / VM

HOST KERNEL

LIBS

APP APP APP

FS/NET


AP

PH

erst

elle

r

AP

PH

erst

elle

rK

ern

elH

erst

elle

r

Ker

nel

Her

stel

ler

HW

H

erst

.

HW

H

erst

.

HARDWARE

HYPERVISOR

HOST KERNEL

GUESTKERNEL

LIBS

APP

GUESTKERNEL

LIBS

APP

GUESTKERNEL

LIBS

APP

OS Virtualisierung

HARDWARE / VM


LIBS

APP

LIBS

APP

LIBS

APP





HARDWARE / VM

HOST KERNEL

LIBS

APP APP APP

FS/NET


AP

PH

erst

elle

r

AP

PH

erst

elle

rK

ern

elH

erst

elle

r

Ker

nel

Her

stel

ler

HW

H

erst

.

HW

H

erst

.

AP

PH

erst

elle

r

AP

PH

erst

elle

rK

ern

elH

erst

elle

r

Ker

nel

Her

stel

ler

HW

H

erst

.

HW

H

erst

.V

T/O

SH

erst

elle

r

VT/

OS

Her

stel

ler

HARDWARE

HYPERVISOR

HOST KERNEL

GUESTKERNEL

LIBS

APP

GUESTKERNEL

LIBS

APP

GUESTKERNEL

LIBS

APP

OS Virtualisierung

HARDWARE / VM


LIBS

APP

LIBS

APP

LIBS

APP





HARDWARE / VM

HOST KERNEL

LIBS

APP APP APP

FS/NET


AP

PH

erst

elle

r

AP

PH

erst

elle

rK

ern

elH

erst

elle

r

Ker

nel

Her

stel

ler

HW

H

erst

.

HW

H

erst

.

AP

PH

erst

elle

r

AP

PH

erst

elle

rK

ern

elH

erst

elle

r

Ker

nel

Her

stel

ler

HW

H

erst

.

HW

H

erst

.V

T/O

SH

erst

elle

r

VT/

OS

Her

stel

ler

AP

PH

erst

elle

r

AP

PH

erst

elle

rK

ern

elH

erst

elle

r

Ker

nel

Her

stel

ler

HW

H

erst

.

HW

H

erst

.!!!

!

HARDWARE

HYPERVISOR

HOST KERNEL

GUESTKERNEL

LIBS

APP

GUESTKERNEL

LIBS

APP

GUESTKERNEL

LIBS

APP

OS Virtualisierung

HARDWARE / VM


LIBS

APP

LIBS

APP

LIBS

APP





CONTAINER

Angriffsszenarien

SERVICE

PORT

ANGRIFF

ANGRIFF



CONTAINER

Angriffsszenarien

SERVICE

PORT


IT – Kompetent - UnabhängigAngriffsszenarien

CONTAINERCONTAINER

RAM

FS

NETWORK

KERNEL

ANGRIFFANGRIFF


IT – Kompetent - UnabhängigAngriffsszenarien

CONTAINERCONTAINER

OS BETRIEBSSYSTEM

CONTAINER



Variante A: Vollständig herunter laden:

index.docker.io

hub.docker.com

store.docker.com

Variante B: Aus Host- (oder anderem) System generieren:

docker build

Nur wer die Open-Source-Komponenten und -Versionen kennt, kann beurteilen, ob Sicherheitsschwachstellen

vorhanden sind.

Provisionierung



Wichtigste Faktoren:

Minimale Systeme

Apparmor und SELinux

Definierte Umgebung

Signierte Images

https://blogs.vmware.com/security/2015/05/vmware-releases-security-compliance-solution-docker-containers.html

Sicherheit



Seccomp (Secure Computing Mode): Whitelist von System- Calls

Control Groups (cgroups): Ressourcenbeschränkung (gegen DoS)

Capabilitieschown, dac_override, fowner, kill, setgid, setuid, setpcap, net_bind_service, net_raw, sys_chroot,mknod, setfcap, audit_write fsetid

Einschränkungen: Privelegierte Container (z.B. cap net_admin)

Sicherheit (Details)



Namespaces

UTS (Systemidentifikation): Eigener Host- und Domänennamen

IPC (Interprozess-Kommunikation): unabhängige IPC-Mechanismen

PID (Prozess-IDs): eigener Raum für die Prozess-IDs

MNT (Mountpoints des Dateisystems): Prozesse in unterschiedlichen Containern haben einen individuellen "View" auf das Dateisystem

NET (Netzwerkressourcen): Jeder Container hat eigenen Netzwerkstack, Netzwerkgerät, IP-Adresse und Routing-Tabelle.

Sicherheit (Details)



Container-Virtualisierung vs. ohne Virtualisierung

Vorteil:

Bessere Abschottung der Services

Nachteil:

Höhere Komplexität

höherer Speicher-Bedarf

Maintenance der Bibliotheken schwierig

Matrix Vor- und Nachteile



OS-Virtualisierung vs. ohne Virtualisierung

Vorteil:

Bessere Abschottung der Services

Nachteil:

● Höherer Ressourcenbedarf




Container- vs. OS-Virtualisierung

Vorteil:

Einfachere Provisionierung

Skaliert im allgemeinen besser

weniger Ressourcenbedarf

Nachteil:

● Maintenance der Bibliotheken schwierig

● Schlechtere Abschottung der Container

● Gemeinsamer Kernel (Kernel-Update aufwändig)




● Vordergründig: Höhere Sicherheit

● Im Detail:

– Maintenance unklar

– Keine richtige Virtualisierung (gemeinsamer Kernel / FS / ...)

– hohe Komplexität

Vieles noch unklar, aber Lösungsansätze sind vorhanden. Docker hat das Potenzial, sich zur Standard-Containertechnik zu entwickeln.

Augenmaß, Differenzierte Betrachtung und Abwarten!

Sicherheit (Fazit)



Vielen Dank für Ihre Aufmerksamkeit !

Andreas Niederländer

[email protected]

Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von...

Documents

Transcript of Infrastruktur im Wandel...Infrastruktur im Wandel IT-Sicherheit im Kontext von...