DevOps Wissensdatenbank
DevOps Wissensdatenbank

Best Practices zur Härtung von Docker-Images und Reduzierung der Angriffsfläche

Verbessern Sie Ihre Docker-Sicherheit mit Best Practices zur Härtung von Images. Erfahren Sie, wie Sie Container als Nicht-Root-Benutzer ausführen, die Angriffsfläche durch Reduzierung von Paketen minimieren, effektive Health Checks implementieren, Secrets sicher verwalten und Multi-Stage-Builds nutzen. Dieser Leitfaden bietet umsetzbare Schritte und Beispiele, um sicherere und robustere Docker-Images zu erstellen und so die Schwachstellenrisiken in Ihren Bereitstellungen zu verringern.

33 Aufrufe

Best Practices zur Härtung von Docker-Images und Reduzierung der Angriffsfläche

Docker hat die Anwendungsbereitstellung revolutioniert, indem es Entwicklern ermöglicht, Anwendungen und deren Abhängigkeiten in portable, in sich geschlossene Container zu verpacken. Die Benutzerfreundlichkeit kann jedoch manchmal die kritische Bedeutung der Sicherheit in den Hintergrund drängen. Die Härtung von Docker-Images ist von größter Wichtigkeit, um die Angriffsfläche zu minimieren und Ihre Anwendungen und Infrastruktur vor potenziellen Bedrohungen zu schützen. Dieser Artikel beschreibt wesentliche Best Practices für die Sicherung Ihrer Dockerfiles, das Erstellen robusterer Container und die Reduzierung des Gesamtrisikos, das mit Container-Bereitstellungen verbunden ist.

Durch die Anwendung dieser Praktiken können Sie die Sicherheit Ihrer Docker-Images erheblich verbessern, sie widerstandsfähiger gegen Ausnutzung machen und eine sicherere Bereitstellungsumgebung gewährleisten. Wir werden uns mit Techniken befassen, wie dem Ausführen von Containern mit minimalen Berechtigungen, der Implementierung effektiver Health Checks und der Optimierung der Image-Größe, um das Potenzial für Schwachstellen zu reduzieren.

1. Container als Nicht-Root-Benutzer ausführen

Eines der fundamentalsten Sicherheitsprinzipien ist das Prinzip der geringsten Rechte. Standardmäßig laufen Prozesse in einem Docker-Container als Root-Benutzer. Dies verleiht ihnen weitreichende Privilegien, die von Angreifern ausgenutzt werden können, wenn der Container kompromittiert wird. Das Ausführen Ihrer Anwendung als Nicht-Root-Benutzer reduziert den potenziellen Schaden, den ein Angreifer innerhalb des Containers anrichten kann, dramatisch.

Erstellen eines Nicht-Root-Benutzers

Sie können in Ihrem Dockerfile einen neuen Benutzer und eine neue Gruppe erstellen und dann zu diesem Benutzer wechseln, bevor Ihre Anwendung ausgeführt wird.

# Verwenden Sie ein offizielles Python-Image als Basis-Image
FROM python:3.9-slim

# Arbeitsverzeichnis festlegen
WORKDIR /app

# Inhalt des aktuellen Verzeichnisses in den Container nach /app kopieren
COPY . /app

# Benötigte Pakete aus requirements.txt installieren
RUN pip install --no-cache-dir -r requirements.txt

# Nicht-Root-Benutzer und -Gruppe erstellen
RUN addgroup --system --gid 1001 appgroup && \n    adduser --system --uid 1001 --ingroup appgroup appuser

# Zum Nicht-Root-Benutzer wechseln
USER appuser

# Port 80 für die Außenwelt dieses Containers verfügbar machen
EXPOSE 80

# Umgebungsvariable definieren
ENV NAME World

# app.py ausführen, wenn der Container gestartet wird
CMD ["python", "app.py"]

Überlegungen für Nicht-Root-Benutzer

  • Berechtigungen: Stellen Sie sicher, dass der Nicht-Root-Benutzer die erforderlichen Lese- und Schreibberechtigungen für Verzeichnisse und Dateien hat, die Ihre Anwendung benötigt. Möglicherweise müssen Sie chown verwenden, um die Besitzverhältnisse entsprechend festzulegen.
  • Port-Bindung: Nicht-Root-Benutzer können sich typischerweise nur an Ports oberhalb von 1024 binden. Wenn Ihre Anwendung an einem privilegierten Port (z. B. 80 oder 443) binden muss, sollten Sie einen Reverse-Proxy (wie Nginx oder Traefik) in Betracht ziehen, der auf dem Host oder in einem anderen Container mit entsprechenden Berechtigungen läuft, oder Linux-Capabilities konfigurieren.

2. Installierte Pakete und Abhängigkeiten minimieren

Jedes in Ihrem Docker-Image installierte Paket erhöht dessen Größe und, was noch wichtiger ist, seine Angriffsfläche. Jedes Paket kann eigene Schwachstellen aufweisen, die Angreifer ausnutzen können. Daher ist es entscheidend, nur das absolut Notwendige aufzunehmen.

Best Practices für die Paketverwaltung:

  • Minimale Basis-Images verwenden: Bevorzugen Sie nach Möglichkeit slim- oder alpine-Varianten von Basis-Images. Diese Images enthalten nur die wesentlichen Komponenten, die zum Ausführen der Anwendung erforderlich sind, was die Angriffsfläche erheblich reduziert. Beispielsweise ist python:3.9-slim kleiner und sicherer als python:3.9.

  • Nach der Installation aufräumen: Löschen Sie nach der Installation von Paketen den Paketmanager-Cache oder temporäre Dateien. Dies reduziert nicht nur die Image-Größe, sondern beseitigt auch potenzielle Staging-Bereiche für Angreifer.
    ```dockerfile
    # Beispiel für Debian/Ubuntu-basierte Images
    RUN apt-get update && apt-get install -y --no-install-recommends some-package && \n rm -rf /var/lib/apt/lists/*

    Beispiel für Alpine-basierte Images

    RUN apk add --no-cache some-package
    * **Multi-Stage Builds:** Dies ist eine leistungsstarke Technik, um Ihr finales Image schlank zu halten. Sie verwenden eine Stufe zum Erstellen Ihrer Anwendung (Installieren von Build-Tools, Compilern usw.) und eine zweite, saubere Stufe, um nur die notwendigen Artefakte aus der Build-Stufe zu kopieren. Dadurch wird verhindert, dass Build-Abhängigkeiten in Ihrem Produktions-Image landen.dockerfile

    --- Build-Stufe ---

    FROM golang:1.18-alpine AS builder
    WORKDIR /app
    COPY . .
    RUN go build -o myapp

    --- Produktions-Stufe ---

    FROM alpine:latest
    WORKDIR /app
    COPY --from=builder /app/myapp .
    CMD ["./myapp"]
    ```
    * Abhängigkeiten regelmäßig aktualisieren: Halten Sie Ihre Anwendung Abhängigkeiten und Basis-Images aktuell, um Sicherheitspatches zu übernehmen.

3. Robuste Health Checks implementieren

Health Checks sind entscheidend für die Überwachung des Status Ihrer Container. Docker kann diese Prüfungen verwenden, um festzustellen, ob ein Container ordnungsgemäß läuft, und um fehlerhafte Container automatisch neu zu starten oder zu entfernen. Ein gut definierter Health Check trägt dazu bei, sicherzustellen, dass Ihre Anwendung nicht nur läuft, sondern auch reagiert und wie erwartet funktioniert.

Health Checks definieren:

Eine HEALTHCHECK-Anweisung in Ihrem Dockerfile gibt einen Befehl an, den Docker periodisch im Container ausführt, um dessen Zustand zu testen. Wenn der Befehl mit einem Status ungleich Null beendet wird, gilt der Container als fehlerhaft.

# Beispiel für eine Webanwendung
FROM nginx:latest

# ... andere Anweisungen ...

# Prüfen, ob der Nginx-Prozess läuft und auf Port 80 lauscht
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \n  CMD curl -f http://localhost:80/ || exit 1

# ... andere Anweisungen ...

Best Practices für Health Checks:

  • Einfach halten: Der Health-Check-Befehl sollte leichtgewichtig und schnell auszuführen sein. Vermeiden Sie komplexe Logik, die die Prüfung verlangsamen oder eigene Fehlerquellen einführen könnte.
  • Kernfunktionalität testen: Die Prüfung sollte idealerweise die Kernfunktionalität Ihrer Anwendung testen, nicht nur, ob ein Prozess läuft. Bei einem Webserver könnte dies bedeuten, zu prüfen, ob er auf eine einfache HTTP-Anfrage antworten kann.
  • start-period konfigurieren: Bei Anwendungen, die zum Initialisieren Zeit benötigen, verwenden Sie die Option start-period, um ihnen Zeit zum Hochfahren zu geben, bevor Health Checks fehlschlagen.

4. Geheimnisse und sensible Daten sicher verwalten

Betten Sie niemals Geheimnisse wie API-Schlüssel, Passwörter oder Zertifikate direkt in Ihr Dockerfile oder Image ein. Diese Geheimnisse werden Teil der Image-Schicht und sind leicht auffindbar. Verwenden Sie stattdessen Docker Secrets oder Umgebungsvariablen, die von Ihrer Orchestrierungsplattform (wie Kubernetes oder Docker Swarm) verwaltet werden, für sensible Informationen.

Docker Secrets (Swarm Mode):

Docker Swarm bietet einen nativen Mechanismus zur Verwaltung von Geheimnissen. Sie können Geheimnisse erstellen und sie als Dateien in Container einbinden.

# Ein Geheimnis erstellen
docker secret create my_api_key api_key.txt

# Einen Dienst verwenden des Geheimnisses bereitstellen
docker service create --secret my_api_key my_web_app

Umgebungsvariablen (mit Vorsicht):

Obwohl Umgebungsvariablen praktisch sind, sind sie auch sichtbar, wenn ein laufender Container inspiziert wird (docker inspect). Verwenden Sie sie für nicht-sensible Konfigurationsdaten. Für sensible Daten sind Docker Secrets oder externe Secret-Management-Systeme vorzuziehen.

5. Spezifische Image-Tags verwenden

Wenn Sie in Ihrem Dockerfile auf Basis-Images oder andere Images verweisen (z. B. FROM ubuntu:latest), verwenden Sie immer spezifische Versionstags anstelle von latest. Die Verwendung von latest kann zu unvorhersehbaren Builds führen, da sich das Tag latest im Laufe der Zeit ändern kann und möglicherweise ohne Ihr Wissen Breaking Changes oder sogar Sicherheitslücken einführt.

# Vermeiden Sie dies:
# FROM ubuntu:latest

# Bevorzugen Sie dies:
FROM ubuntu:22.04

6. Images auf Schwachstellen scannen

Scannen Sie Ihre Docker-Images regelmäßig auf bekannte Schwachstellen. Mehrere Tools können Ihnen dabei helfen, sowohl in Ihrer CI/CD-Pipeline als auch in Ihrer Registry.

Beliebte Scanning-Tools:

  • Trivy: Ein einfacher und umfassender Schwachstellen-Scanner für Container. Er scannt OS-Pakete und Anwendung Abhängigkeiten.
    bash trivy image your-image-name:tag
  • Clair: Ein Open-Source-Statik-Analysewerkzeug zur Erkennung von Schwachstellen in Container-Images.
  • Docker Scout: Ein Dienst von Docker, der Container-Images auf Schwachstellen analysiert und Empfehlungen gibt.

Die Integration dieser Scans in Ihren Build-Prozess stellt sicher, dass Sie sich potenzieller Sicherheitsprobleme bewusst sind und diese beheben können, bevor Sie Ihre Images bereitstellen.

7. Image-Layer verstehen

Docker-Images werden in Schichten (Layern) aufgebaut. Wenn Sie eine Änderung an Ihrem Dockerfile vornehmen, wird eine neue Schicht erstellt. Das Verständnis der Funktionsweise von Layern kann Ihnen helfen, Ihr Dockerfile sowohl hinsichtlich der Größe als auch der Sicherheit zu optimieren. Platzieren Sie Anweisungen, die sich seltener ändern (wie die Installation von Basis-Paketen), früher im Dockerfile und Anweisungen, die sich häufiger ändern (wie das Kopieren von Anwendungscode), später. Dies nutzt den Build-Cache von Docker effektiv aus und kann Builds beschleunigen.

Für die Sicherheit ist es noch wichtiger, dass sensible Informationen oder versehentliche Offenlegungen in früheren Schichten bestehen bleiben können. Stellen Sie sicher, dass alle sensiblen Dateien oder Befehle so gehandhabt werden, dass sie nicht in den endgültigen Image-Schichten verbleiben, wenn sie nicht mehr benötigt werden.

Fazit

Die Härtung von Docker-Images ist ein fortlaufender Prozess, der Sorgfalt und die Einhaltung von Sicherheitsbest Practices erfordert. Indem Sie Container als Nicht-Root-Benutzer ausführen, Abhängigkeiten minimieren, robuste Health Checks implementieren, Geheimnisse sicher verwalten, spezifische Image-Tags verwenden und regelmäßig auf Schwachstellen scannen, können Sie die Angriffsfläche Ihrer containerisierten Anwendungen erheblich reduzieren. Bei diesen Praktiken geht es nicht nur um Compliance; sie sind grundlegend für die Erstellung sicherer, zuverlässiger und widerstandsfähiger Softwaresysteme im Zeitalter der Container.

Beginnen Sie damit, Ihre bestehenden Dockerfiles zu überprüfen und diese Empfehlungen schrittweise umzusetzen. Ihre Sicherheitslage wird es Ihnen danken.