SlideShare uma empresa Scribd logo
1 de 10
Baixar para ler offline
Segurança - Docker
Testes
Container 1
Rede1
172.23.0.0/16
172.23.0.2
Container 2
Rede2
172.24.0.0/16
172.24.0.2
X
Gerenciamento de
Rede OpenShift
● Com o openshift é possível fazer isolamentos de redes
por projetos
● Por padrão, todos os pods em um projeto podem ser
acessados de outros pods e terminais de rede. Para
isolar um ou mais pods em um projeto, pode ser usado
o NetworkPolicy
https://docs.openshift.org/latest/admin_guide/managing_networking.html
Preocupações:
● Com o kernel do host, pois o mesmo é compartilhado entre
os containers
● Com os recursos de cada container, pois um container pode
fazer com que falte recursos e atrapalhe outros containers
● Com o uso root nos containers
● Com as imagens, pode ser utilizado algo malicioso, inseguro
e deixar o host vulnerável
● Com certos dados utilizados dentro de um container, como
senhas e usuários de banco de dados em variáveis de
ambiente
Boas práticas
● Não usar variáveis de ambiente
● Dica: Docker Secrets Management (para guardar informações sensíveis)
●
Cuidado com o uso do root
● Criação de namespace isolados
● Limitar ao máximo os privilégios
●
Imagens confiáveis
●
Limitar recursos
● Monitoramento e Alertas
● Utilizar ferramentas de scanner de vulnerabilidades
●
Criar namespaces no nível de usuário e restringir recursos da raiz
do container.
Ferramentas
● Docker Security Scanning: A solução fornece um
perfil de segurança detalhado das imagens Docker. A
ferramenta faz uma varredura das imagens antes de
serem utilizadas e monitoramento de vulnerabilidades.
Esta ferramenta está disponível no Docker Hub, Store e
Cloud.
● DockerScan: Com ela é possível fazer uma varredura
buscando por vulnerabilidades de segurança e também
fazer o inverso, injetar vulnerabilidades em imagens
Docker.
● Cilium: Traz uma filtragem de segurança de rede para
estruturas de contêineres do Linux, como Docker e
Kubernetes. Fornece uma maneira simples e eficiente de
definir e aplicar as políticas de segurança da camada de
rede e da camada de aplicativos.
● SysDig Falco: Serve para monitorar as atividades
comportamentais, para detectar atividades irregulares.
Permite monitorar e detectar continuamente a atividade de
contêiner, aplicativo, host e rede. Pode detectar e alertar
sobre qualquer comportamento que envolva fazer chamadas
ao sistema Linux. O próprio OpenShift recomanda o uso
dele.
Ferramentas
Mais algumas ferramentas de segurança: https://sysdig.com/blog/20-docker-security-tools/
SysDig
Dicas do Fernando
● Pelo que eu sei tu consegue criar varias redes, e elas por default
não vão se "enchergar"
● Pra cada container tu pode criar uma rede
● Ter algumas precauções, como limitar cpu, memória
● Se vai ter mais de um cliente no mesmo host, pode ser um
problema, ele vai poder ver as redes existentes.
● No que eu puder ajudar, fico a disposição
Referências
● https://www.kinghost.com.br/blog/2018/02/seguranca-docker-veja-alguns-
cuidados/
● https://www.mundodocker.com.br/seguranca-e-hacking-de-containers-
docker/
● https://blog.openshift.com/unified-container-monitoring-and-security-on-
openshift-with-sysdig/
● https://sysdig.com/blog/7-docker-security-vulnerabilities/
● http://cilium.readthedocs.io/en/stable/intro/
● https://docs.openshift.org/latest/admin_guide/managing_networking.html
● https://sysdig.com/blog/20-docker-security-tools/

Mais conteúdo relacionado

Mais procurados

Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...Tchelinux
 
Primeiros passos com o Docker
Primeiros passos com o DockerPrimeiros passos com o Docker
Primeiros passos com o DockerWebSix
 
Verdades que não querem te contar sobre Docker
Verdades que não querem te contar sobre DockerVerdades que não querem te contar sobre Docker
Verdades que não querem te contar sobre DockerLuís Bianchin
 
DevOps e redes -- SDN NFV e Docker
DevOps e redes -- SDN NFV e DockerDevOps e redes -- SDN NFV e Docker
DevOps e redes -- SDN NFV e DockerLucas Arbiza
 
InfoPI 2013 - Minicurso - Introdução ao CUDA - Segunda Parte
InfoPI 2013 - Minicurso - Introdução ao CUDA - Segunda ParteInfoPI 2013 - Minicurso - Introdução ao CUDA - Segunda Parte
InfoPI 2013 - Minicurso - Introdução ao CUDA - Segunda ParteCarlos Carvalho
 
Um milhao de usuários simultâneos
Um milhao de usuários simultâneosUm milhao de usuários simultâneos
Um milhao de usuários simultâneosFernando Ike
 
Introdução ao NUNIT
Introdução ao NUNITIntrodução ao NUNIT
Introdução ao NUNITAlan Drummond
 
[Unirede] Webinar: Transportando as aplicações entre vários ambientes com Docker
[Unirede] Webinar: Transportando as aplicações entre vários ambientes com Docker[Unirede] Webinar: Transportando as aplicações entre vários ambientes com Docker
[Unirede] Webinar: Transportando as aplicações entre vários ambientes com DockerAécio Pires
 
Docker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimentoDocker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimentoSérgio Lima
 
Introdução a Containers Docker
Introdução a Containers DockerIntrodução a Containers Docker
Introdução a Containers DockerMatheus Fidelis
 
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...tdc-globalcode
 

Mais procurados (20)

Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
Escalando MongoDB com Docker - Cristiano dos Santos Diedrich - Tchelinux Bent...
 
Apresentacao docker
Apresentacao dockerApresentacao docker
Apresentacao docker
 
Docker Itix
Docker ItixDocker Itix
Docker Itix
 
O que é docker?
O que é docker?O que é docker?
O que é docker?
 
Docker meetup
Docker meetupDocker meetup
Docker meetup
 
Introdução à plataforma Docker
Introdução à plataforma DockerIntrodução à plataforma Docker
Introdução à plataforma Docker
 
Apresentação docker
Apresentação dockerApresentação docker
Apresentação docker
 
Primeiros passos com o Docker
Primeiros passos com o DockerPrimeiros passos com o Docker
Primeiros passos com o Docker
 
O que é Docker?
O que é Docker?O que é Docker?
O que é Docker?
 
Verdades que não querem te contar sobre Docker
Verdades que não querem te contar sobre DockerVerdades que não querem te contar sobre Docker
Verdades que não querem te contar sobre Docker
 
DevOps e redes -- SDN NFV e Docker
DevOps e redes -- SDN NFV e DockerDevOps e redes -- SDN NFV e Docker
DevOps e redes -- SDN NFV e Docker
 
Introdução ao docker
Introdução ao dockerIntrodução ao docker
Introdução ao docker
 
InfoPI 2013 - Minicurso - Introdução ao CUDA - Segunda Parte
InfoPI 2013 - Minicurso - Introdução ao CUDA - Segunda ParteInfoPI 2013 - Minicurso - Introdução ao CUDA - Segunda Parte
InfoPI 2013 - Minicurso - Introdução ao CUDA - Segunda Parte
 
Um milhao de usuários simultâneos
Um milhao de usuários simultâneosUm milhao de usuários simultâneos
Um milhao de usuários simultâneos
 
Introdução ao NUNIT
Introdução ao NUNITIntrodução ao NUNIT
Introdução ao NUNIT
 
[Unirede] Webinar: Transportando as aplicações entre vários ambientes com Docker
[Unirede] Webinar: Transportando as aplicações entre vários ambientes com Docker[Unirede] Webinar: Transportando as aplicações entre vários ambientes com Docker
[Unirede] Webinar: Transportando as aplicações entre vários ambientes com Docker
 
Docker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimentoDocker, facilitando a vida do desenvolvimento
Docker, facilitando a vida do desenvolvimento
 
Protegendo Docker
Protegendo DockerProtegendo Docker
Protegendo Docker
 
Introdução a Containers Docker
Introdução a Containers DockerIntrodução a Containers Docker
Introdução a Containers Docker
 
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
 

Semelhante a Seguranca - docker

Treinamento Docker Básico
Treinamento Docker BásicoTreinamento Docker Básico
Treinamento Docker BásicoAndré Justi
 
Apresentação Docker
Apresentação DockerApresentação Docker
Apresentação DockerAndré Justi
 
Docker e outras ferramentas Devops
Docker e outras ferramentas DevopsDocker e outras ferramentas Devops
Docker e outras ferramentas DevopsCristian Trucco
 
Introdução-a-Docker-compactado.pdf
Introdução-a-Docker-compactado.pdfIntrodução-a-Docker-compactado.pdf
Introdução-a-Docker-compactado.pdfdadalt1
 
Orquestrando ambientes com docker e kubernetes
Orquestrando ambientes com docker e kubernetes	Orquestrando ambientes com docker e kubernetes
Orquestrando ambientes com docker e kubernetes Rhuan Karlus Silva
 
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...tdc-globalcode
 
Integração contínua com Jenkins
Integração contínua com JenkinsIntegração contínua com Jenkins
Integração contínua com JenkinsAécio Pires
 
Orquestração de containers com Rancher
Orquestração de containers com RancherOrquestração de containers com Rancher
Orquestração de containers com RancherAlex Ishida
 
O poder dos microsserviços com Docker e Kubernetes
O poder dos microsserviços com Docker e KubernetesO poder dos microsserviços com Docker e Kubernetes
O poder dos microsserviços com Docker e KubernetesWillian Azevedo
 
Container revolucao
Container revolucaoContainer revolucao
Container revolucaoFernando Ike
 
Beers & Bytes - O Futuro da virtualização
Beers & Bytes - O Futuro da virtualizaçãoBeers & Bytes - O Futuro da virtualização
Beers & Bytes - O Futuro da virtualizaçãoCarlos Smaniotto
 
Linux Containers: do que são feitos? de onde vem? quem os alimenta?
Linux Containers: do que são feitos? de onde vem? quem os alimenta?Linux Containers: do que são feitos? de onde vem? quem os alimenta?
Linux Containers: do que são feitos? de onde vem? quem os alimenta?Marcos Paulo de Souza
 
Docker basicão e sem mistérios
Docker basicão e sem mistériosDocker basicão e sem mistérios
Docker basicão e sem mistériosIsaac Maciel
 
Docker: um linux container engine
Docker:  um linux container engineDocker:  um linux container engine
Docker: um linux container engineHudson Brendon
 
Docker Everywhere - MTAC Week
Docker Everywhere - MTAC WeekDocker Everywhere - MTAC Week
Docker Everywhere - MTAC WeekLuiz Carlos Faria
 
Docker: ganhe tempo e seja eficiente na entrega de serviços de TI
Docker: ganhe tempo e seja eficiente na entrega de serviços de TIDocker: ganhe tempo e seja eficiente na entrega de serviços de TI
Docker: ganhe tempo e seja eficiente na entrega de serviços de TIRicardo Ferreira Costa
 

Semelhante a Seguranca - docker (20)

Treinamento Docker Básico
Treinamento Docker BásicoTreinamento Docker Básico
Treinamento Docker Básico
 
Apresentação Docker
Apresentação DockerApresentação Docker
Apresentação Docker
 
Docker e outras ferramentas Devops
Docker e outras ferramentas DevopsDocker e outras ferramentas Devops
Docker e outras ferramentas Devops
 
Introdução-a-Docker-compactado.pdf
Introdução-a-Docker-compactado.pdfIntrodução-a-Docker-compactado.pdf
Introdução-a-Docker-compactado.pdf
 
Olá docker
Olá dockerOlá docker
Olá docker
 
Orquestrando ambientes com docker e kubernetes
Orquestrando ambientes com docker e kubernetes	Orquestrando ambientes com docker e kubernetes
Orquestrando ambientes com docker e kubernetes
 
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
TDC2017 | São Paulo - Trilha Containers How we figured out we had a SRE team ...
 
Integração contínua com Jenkins
Integração contínua com JenkinsIntegração contínua com Jenkins
Integração contínua com Jenkins
 
Orquestração de containers com Rancher
Orquestração de containers com RancherOrquestração de containers com Rancher
Orquestração de containers com Rancher
 
O poder dos microsserviços com Docker e Kubernetes
O poder dos microsserviços com Docker e KubernetesO poder dos microsserviços com Docker e Kubernetes
O poder dos microsserviços com Docker e Kubernetes
 
Container revolucao
Container revolucaoContainer revolucao
Container revolucao
 
Docker
DockerDocker
Docker
 
Beers & Bytes - O Futuro da virtualização
Beers & Bytes - O Futuro da virtualizaçãoBeers & Bytes - O Futuro da virtualização
Beers & Bytes - O Futuro da virtualização
 
Linux Containers: do que são feitos? de onde vem? quem os alimenta?
Linux Containers: do que são feitos? de onde vem? quem os alimenta?Linux Containers: do que são feitos? de onde vem? quem os alimenta?
Linux Containers: do que são feitos? de onde vem? quem os alimenta?
 
Freedomday2016 - Fique na caixinha, docker
Freedomday2016 - Fique na caixinha, dockerFreedomday2016 - Fique na caixinha, docker
Freedomday2016 - Fique na caixinha, docker
 
Docker.io:
Docker.io: Docker.io:
Docker.io:
 
Docker basicão e sem mistérios
Docker basicão e sem mistériosDocker basicão e sem mistérios
Docker basicão e sem mistérios
 
Docker: um linux container engine
Docker:  um linux container engineDocker:  um linux container engine
Docker: um linux container engine
 
Docker Everywhere - MTAC Week
Docker Everywhere - MTAC WeekDocker Everywhere - MTAC Week
Docker Everywhere - MTAC Week
 
Docker: ganhe tempo e seja eficiente na entrega de serviços de TI
Docker: ganhe tempo e seja eficiente na entrega de serviços de TIDocker: ganhe tempo e seja eficiente na entrega de serviços de TI
Docker: ganhe tempo e seja eficiente na entrega de serviços de TI
 

Seguranca - docker

  • 3. Gerenciamento de Rede OpenShift ● Com o openshift é possível fazer isolamentos de redes por projetos ● Por padrão, todos os pods em um projeto podem ser acessados de outros pods e terminais de rede. Para isolar um ou mais pods em um projeto, pode ser usado o NetworkPolicy https://docs.openshift.org/latest/admin_guide/managing_networking.html
  • 4. Preocupações: ● Com o kernel do host, pois o mesmo é compartilhado entre os containers ● Com os recursos de cada container, pois um container pode fazer com que falte recursos e atrapalhe outros containers ● Com o uso root nos containers ● Com as imagens, pode ser utilizado algo malicioso, inseguro e deixar o host vulnerável ● Com certos dados utilizados dentro de um container, como senhas e usuários de banco de dados em variáveis de ambiente
  • 5. Boas práticas ● Não usar variáveis de ambiente ● Dica: Docker Secrets Management (para guardar informações sensíveis) ● Cuidado com o uso do root ● Criação de namespace isolados ● Limitar ao máximo os privilégios ● Imagens confiáveis ● Limitar recursos ● Monitoramento e Alertas ● Utilizar ferramentas de scanner de vulnerabilidades ● Criar namespaces no nível de usuário e restringir recursos da raiz do container.
  • 6. Ferramentas ● Docker Security Scanning: A solução fornece um perfil de segurança detalhado das imagens Docker. A ferramenta faz uma varredura das imagens antes de serem utilizadas e monitoramento de vulnerabilidades. Esta ferramenta está disponível no Docker Hub, Store e Cloud. ● DockerScan: Com ela é possível fazer uma varredura buscando por vulnerabilidades de segurança e também fazer o inverso, injetar vulnerabilidades em imagens Docker.
  • 7. ● Cilium: Traz uma filtragem de segurança de rede para estruturas de contêineres do Linux, como Docker e Kubernetes. Fornece uma maneira simples e eficiente de definir e aplicar as políticas de segurança da camada de rede e da camada de aplicativos. ● SysDig Falco: Serve para monitorar as atividades comportamentais, para detectar atividades irregulares. Permite monitorar e detectar continuamente a atividade de contêiner, aplicativo, host e rede. Pode detectar e alertar sobre qualquer comportamento que envolva fazer chamadas ao sistema Linux. O próprio OpenShift recomanda o uso dele. Ferramentas Mais algumas ferramentas de segurança: https://sysdig.com/blog/20-docker-security-tools/
  • 9. Dicas do Fernando ● Pelo que eu sei tu consegue criar varias redes, e elas por default não vão se "enchergar" ● Pra cada container tu pode criar uma rede ● Ter algumas precauções, como limitar cpu, memória ● Se vai ter mais de um cliente no mesmo host, pode ser um problema, ele vai poder ver as redes existentes. ● No que eu puder ajudar, fico a disposição
  • 10. Referências ● https://www.kinghost.com.br/blog/2018/02/seguranca-docker-veja-alguns- cuidados/ ● https://www.mundodocker.com.br/seguranca-e-hacking-de-containers- docker/ ● https://blog.openshift.com/unified-container-monitoring-and-security-on- openshift-with-sysdig/ ● https://sysdig.com/blog/7-docker-security-vulnerabilities/ ● http://cilium.readthedocs.io/en/stable/intro/ ● https://docs.openshift.org/latest/admin_guide/managing_networking.html ● https://sysdig.com/blog/20-docker-security-tools/