FeaturedNOTICIAS

Cómo el programa de editor verificado de Docker ayuda a su seguridad – CloudSavvy IT


Logotipo de Docker

Docker hace que los contenedores giratorios sean muy sencillos. Pero, ¿cómo saber si un contenedor extraído de Docker Hub contiene puertas traseras o malware? La iniciativa de publicador verificado de Docker aborda solo este problema.

La popularidad te convierte en un objetivo

A los ciberdelincuentes no les gustan más que caminos fáciles hacia las máquinas de las víctimas, y no hace falta decir que cuanto más, mejor. Si un producto o plataforma se vuelve muy popular, puede apostar a que llamará la atención de los actores de amenazas que buscan aprovechar ese éxito en su beneficio.

Docker es líder mundial en contenedorización. Para muchas personas, es el primer nombre que les viene a la mente cuando se mencionan los contenedores. Los contenedores permiten a los desarrolladores empaquetar una aplicación y sus dependencias en un paquete independiente llamado imagen. Esto facilita la implementación del paquete porque todo lo necesario para ejecutar la aplicación está contenido en la imagen. Nunca hay dependencias insatisfechas, sin importar en qué máquina se esté ejecutando el contenedor.

Los contenedores pueden considerarse máquinas virtuales minimalistas. Si proporcionan una aplicación, no necesitan un sistema operativo dentro del contenedor. Solo necesitan las dependencias de la aplicación. Esto reduce el tamaño de las imágenes y aumenta el rendimiento cuando el contenedor se está ejecutando. El contenido del contenedor se ejecuta en el sistema operativo de la computadora host, aislado de otros procesos.

Dado que hay menos cosas dentro de un contenedor que requieren recursos y potencia informática que una máquina virtual, pueden ejecutarse en hardware más modesto. Esto significa que puede tener más de ellos ejecutándose en una sola pieza de hardware, con buen rendimiento, en comparación con las máquinas virtuales tradicionales. Los contenedores creados para entregar diferentes distribuciones de Linux también son solo instantáneas del sistema de archivos de la distribución. Se ejecutan utilizando el kernel de la computadora host.

Gran parte de la tecnología y las aplicaciones dentro de los contenedores son de código abierto. Esto significa que cualquiera puede distribuirlos y utilizarlos libremente. Los contenedores Docker le permiten adoptar la máxima de que los servidores deben ser tratados como ganado, no como mascotas. Los beneficios de los contenedores no solo han impulsado la adopción generalizada de la integración continua y la distribución continua (CI / CD), sino que también lo han hecho posible.

Mirantis compró Docker en noviembre de 2019. En ese momento, Docker Enterprise era utilizado por el 30% de Fortune 100 y el 20% de Global 500. Hoy, Docker Hub ofrece 13 mil millones de extracciones de imágenes y descargas de contenedores por mes desde casi 8 millones de repositorios.

Estas cifras son demasiado asombrosas para que los ciberdelincuentes las ignoren. ¿Qué podría ser más simple que crear imágenes comprometidas y maliciosas, subirlas a Docker Hub y esperar a que los usuarios desprevenidos las descarguen y usen?

RELACIONADOS: ¿Qué hace Docker y cuándo debería usarlo?

El problema de las imágenes inseguras

Existe un problema inherente al extraer imágenes de un repositorio y usarlas. No sabe si se crearon teniendo en cuenta la seguridad o si los componentes de software dentro del contenedor son las versiones actuales y aún se encuentran en su ciclo de vida compatible. ¿Se han aplicado todas las correcciones de errores y parches de seguridad disponibles? O peor aún, ¿contienen código malicioso que fue implantado deliberadamente por los actores de la amenaza?

Docker enfrenta un problema similar al de Apple y Google. Apple y Google deben intentar verificar la App Store y Google Play en busca de aplicaciones maliciosas. Docker está adoptando un enfoque ligeramente diferente. Docker elimina las imágenes de contenedor consideradas maliciosas. También proporciona un esquema de verificación para los editores de contenedores.

En el pasado, Docker eliminó una colección de imágenes cargadas desde la cuenta docker123321 Docker. Había alrededor de 17 contenedores de esta única cuenta que contenían código malicioso. Las imágenes se ofrecieron como contenedores inocentes que admitían aplicaciones como Apache Tomcat y MySQL, pero además, los contenedores alojaban código que proporcionaba shells SSH inversos a los atacantes, permitiéndoles acceder a los contenedores cuando quisieran.

Se encontraron shells inversos de Python y shells inversos de Bash, y un contenedor incluso contenía la clave SSH del autor de la amenaza. Esto les dio acceso remoto sin necesidad de contraseña. Se ha descubierto que otros contenedores albergan software de criptominería. Esto significó que los contenedores estaban encriptados de antemano. El usuario desprevenido pagaría la electricidad y perdería el poder de procesamiento para financiar la criptominería Monero del ciberdelincuente.

Estos ataques son una combinación de caballos de Troya y ataques a la cadena de suministro.

RELACIONADOS: Cómo Linux Foundation Software Signature combate los ataques a la cadena de suministro

El programa para editores verificados

Docker ya proporciona una colección de imágenes de contenedor conocidas como imágenes oficiales. Estas imágenes son un conjunto seleccionado de contenedores que han sido revisados ​​por un equipo dedicado de Docker.

El equipo trabaja con mantenedores y proveedores de software en los contenedores. Las imágenes oficiales son ejemplos de las mejores prácticas de contenedores de Docker, incluida la documentación clara y los parches de seguridad. Las imágenes oficiales de Docker se pusieron recientemente a disposición de una audiencia más amplia en varios repositorios.

La iniciativa Verified Publisher brinda acceso al contenido de Docker que se diferencia por provenir de proveedores conocidos, verificados y confiables. Hay más de 200 proveedores de software inscritos y ratificados por el esquema y los números están aumentando rápidamente. Las imágenes de editores verificados se pueden utilizar con gran confianza en aplicaciones e infraestructuras de misión crítica.

Los programas de Editorial Verificada e Imágenes Oficiales son esquemas complementarios. Muchas de las imágenes de contenedores proporcionadas por los editores verificados también serán imágenes oficiales. Un par de casillas de verificación en la página Explorar de Docker Hub le permite especificar que los resultados de la búsqueda deben incluir imágenes oficiales, imágenes proporcionadas por editores verificados o ambas.

Casillas de verificación Editores verificados e imágenes oficiales en Docker Hub

Una iniciativa bienvenida

Los ataques de SolarWinds y CodeCov demostraron cuán efectivos pueden ser los ataques a la cadena de suministro. Atacar un punto central que luego compromete a los consumidores intermedios de productos y servicios es un método de distribución eficiente. Los contenedores comprometidos son una forma perfecta de implementar este tipo de ataque. Se basa en la creencia de que determinadas fuentes de información y software son intrínsecamente seguras y fiables. Y en general, así es. Pero como hemos visto, es una gran suposición.

Es fundamental que las organizaciones tengan claro la procedencia y la integridad de los contenedores que retiran de los repositorios. Las imágenes oficiales y los editores verificados pueden considerarse una forma de certificación que facilita saber en qué confiar de inmediato.

Si hace que las imágenes de Docker estén disponibles públicamente y cree que convertirse en un editor verificado será beneficioso para usted, puede iniciar el proceso de solicitud del esquema en la página web del editor verificado.

RELACIONADOS: ¡Codecov pirateado! Qué hacer ahora si usa Codecov

TE INTERESA>>  Actualice Google Chrome ahora para evitar una vulnerabilidad de día cero

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba