Login
Newsletter
Werbung

Di, 9. September 2014, 12:22

Software::Security

Red Hat möchte die Sicherheit von Docker-Containern erhöhen

Docker ist in aller Munde, immer mehr Unternehmen und Projekte bedienen sich der Container-Technik. Bei Red Hat arbeitet Daniel Walsh an der Verbesserung der Sicherheit von Docker.

Red Hat

Die Entwicklung von Docker verläuft rasant und nach Meinung einiger Experten werden dabei bisher nicht alle Sicherheitsnetze ausgenutzt, die Linux zu bieten hat. Einer dieser Experten ist Red Hats Daniel Walsh, der sich seit fast 30 Jahren mit Computersicherheit beschäftigt. Bei Red Hat versucht er seit 2001, Techniken und Dienste möglichst mehrfach abzusichern.

Walsh veröffentlicht in diesem Jahr auf OpenSource.com eine Artikelserie, deren dritte Folge demnächst ansteht. Darin beschäftigt er sich mit der Sicherheit von Docker und wie sie mit den Sicherheitsmechanismen in Red Hats Portfolio weiter erhöht werden kann.

Walsh arbeitet bereits seit einigen Jahren im Rahmen des Projekts virt-sandbox mit Containern und Systemd unter Sicherheitsaspekten, wie er in einem Interview erläutert. Er erklärt auch, Docker und Container-Technologie seien nicht per se unsicher, im Gegenteil seien sie teilweise sicherer als eine nicht virtualisierte Umgebung. Für den produktiven Einsatz sei jedoch sicherzustellen, dass privilegierte Prozesse, der aus seinem Container ausbrechen, nicht direkt auf den Host oder in andere Container dringen können, sondern sich einem weiteren Containment gegenüber sehen. Root-Prozesse in Containern seien in keinster Weise anders beschaffen als die gleichen Prozesse in freier Wildbahn. Deshalb sollten die gleichen Sicherheitsmaßnahmen, die in einer realen Umgebung gelten, auch auf Container angewandt werden. Ansonsten, so Walsh, könnte der Ruf von Docker in Schieflage geraten, sollten Anwender annnehmen, Container seien von Hause aus sicher.

Der Red-Hat-Entwickler war verantwortlich dafür, dass Fedora 2004 als erste Distribution SELinux einsetze, das dann in RHEL 4 übernommen wurde. Jetzt möchte er unter anderem die von ihm 2009 entwickelte SELinux-Sandbox zur Absicherung von Docker einsetzen. Ein weiterer Ansatz ist der verstärkte Einsatz von Kernel-Namespaces, um Teile des Host-Systems vor den Prozessen in den Containern zu verstecken. Darüber hinaus will Red Hat das Dateisystem OverlayFS für die Benutzung mit Docker weiterentwickeln.

Neben Sicherheitsaspekten bemüht sich Red Hat im Projekt Kubernetes zusammen mit Docker, Google, Twitter, Microsoft und anderen auch um den Überbau, die Orchestrierung der Container, deren Anzahl je nach Einsatzzweck schnell einige Tausend erreichen kann. Ein weiteres Projekt, Container per GUI zu verwalten, ist Panamax. Weitere Teilaspekte, um die sich Red Hat in Zukunft kümmern will sind die kryptografische Signatur der Docker-Images, eine bessere Zusammenarbeit mit Systemd und einen Audit des Quellcodes.

Red Hat hatte mit Docker vor einem Jahr eine Zusammenarbeit verabredet, um Docker in Red Hats OpenShift-Platform-as-a-Service einzubinden. Daraufhin nahm sich zunächst Fedora der Software an und erweiterte das bisher verwendete Overlay-Dateisystem AUFS als Speichertechnologie um Device-Mapper, da AUFS nicht im Mainline-Kernel ist. Ab Version 0.7 unterstützte Docker dann auch Device-Mapper. Red Hat hat dann Docker, das erst kurz zuvor Version 1.0 erreichte, mit RHEL 7 ausgeliefert. Mittlerweile gehört auch Btrfs mit seinen Snapshots zu den unterstützten Dateisystemen.

Werbung
Kommentare (Insgesamt: 4 || Alle anzeigen )
Re: Tolles Projekt (dududu, Mo, 15. September 2014)
Re[2]: Tolles Projekt (wdt, So, 14. September 2014)
Tolles Projekt (zui, Di, 9. September 2014)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung