Журнал "Information Security/ Информационная безопасность" #4, 2021

По оценкам Gartner, уже в прошлом году число организаций, использовав- ших контейнеризированные приложения в рабочей среде, составляло чуть менее чем 30%, а по прогнозам уже через год доля таких компаний возрастет до 75% организаций всего мира 2 . Одновременно с процессом распро- странения и применения контейнеров в самых разных задачах все чаще звучит вопрос безопасности их использования. В данной статье сфокусируемся на Docker как одной из наиболее распро- страненных технологий контейнериза- ции 3 . Анализ около 4 млн контейнеров, находящихся в открытом хранилище DockerHub, показал, что более поло- вины из них содержит критические уязвимости 4 . Зачастую именно образы из открытого доступа выступают в качестве базовых при создании новых контейнеров, которые, в свою очередь, наследуют все уязвимости родительского образа. Конечно, уязви- мым контейнер может стать не только в результате использования уязвимого стороннего образа или вредоносного ПО, но и в результате ненамеренной ошибки или неточности разработчика при конфигурации образа. Использо- вание сканеров безопасности позво- ляет провести анализ защищенности образа, сделав вывод о его защищен- ности на основании количества най- денных уязвимостей и их уровня опас- ности. Существует множество инструментов анализа уязвимости Docker-контейне- ров. В первом приближении они пред- ставляют собой черный ящик, в кото- рый загружается некий объект, свя- занный с контейнером: образ, dockerfi- le, участок хостовой ОС. Среди инстру- ментальных средств анализа уязвимо- стей Docker-контейнеров можно выде- лить две группы – статические и дина- мические анализаторы. Они не заме- няют друг друга и на практике приме- няются в комплексе для получения наиболее полного представления о защищенности системы. Принцип работы анализаторов заключается в определении ключевых особенностей и характеристик контейнера, образа, dockerfile и сопоставлении их с инфор- мацией из баз данных уязвимостей, рекомендаций по настройке объектов инфраструктуры Docker, правил кор- ректного и безопасного использования функций Docker 5–9 . Со временем в любом ПО обнаружи- ваются новые уязвимости. Чтобы ком- 44 • ТЕХНОЛОГИИ Особенности и инструменты защиты контейнеров очему контейнеры? Отвечая на этот вопрос, сторонники использования технологии контейнеризации применяют следующие аргументы: упрощение разработки и повышение скорости доставки приложений до конечных пользователей, легковесность контейнеров по сравнению с виртуальными машинами, кросс-платформенность, а также изоляция процессов, запущенных внутри контейнеров 1 . Указанные преимущества приводят к тому, что контейнерная виртуализация становится все популярнее. П Надежда Мозолина, преподаватель кафедры защиты информации ФРКТ МФТИ Наталия Иванова, студентка 5-го курса кафедры защиты информации ФРКТ МФТИ 1 Gandhi R., Szmrecsanyi P. The Benefits of Containerization and What It Means for You [Электронный ресурс]. URL: https://www.ibm.com/cloud/blog/the-benefits-of-containerization-and-what-it-means-for-you (дата обращения: 20.08.2021). 2 Gartner Forecasts Strong Revenue Growth for Global Container Management Software and Services Through 2024 [Электронный ресурс]. URL: https://www.gartner.com/en/newsroom/press-releases/2020-06-25-gartner-forecasts-strong-revenue-growth-for-global- co (д ата обращения: 20.08.2021). 3 Орлов С. Почему растет популярность контейнеризации [Электронный ресурс]. URL: https://www.cnews.ru/articles/2020- 07-20_pochemu_rastet_populyarnost_kontejnerizatsii (дата обращения: 20.08.2021). 4 Shevchenko S. Operation “Red Kangaroo": Industry’s First Dynamic Analysis of 4M Public Docker Container Images [Электронный ресурс]. URL: https://blog.prevasio.com/2020/12/operation-red-kangaroo-industrys-first.html (дата обращения: 26.04.2021). 5 Matuz G. Testing docker CVE scanners. Part 1: false negatives and what they mean for your security [Электронный ресурс]. URL: https://medium.com/@ matuzg/testing-docker-cve-scanners-part-1-false-negatives-and-what-they-mean-for-your-security-77fc4eb1b2cf 6 Berkovich S., Kam J., Wurster G., UBCIS: Ultimate Benchmark for Container Image Scanning, 13th Usenix Workshop on Cyber Security Experimentation and Test, 2020. 7 Docker Bench for Security [Электронный ресурс]. URL: https://github.com/docker/docker-bench-security 8 Bismut A. Dynamic Threat Analysis for Container Images: Uncovering Hidden Risks [Электронный ресурс]. URL: https://blog.aquasec.com/dynamic-container-analysis (дата обращения: 09.05.2021). 9 Сайт проекта Hadolint [Электронный ресурс]. URL: https://hadolint.github.io/hadolint/ (дата обращения: 30.08.2021).