Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub Padroneggia strumenti e best practice DevOps - DevOps Knowledge Hub

Le 5 migliori pratiche di sicurezza Docker per proteggere le tue applicazioni

Proteggi le tue applicazioni containerizzate con le migliori pratiche di sicurezza essenziali. Questa guida copre cinque aree chiave: scansione delle immagini container per vulnerabilità, riduzione delle superfici di attacco con immagini di base snelle, esecuzione dei container come utenti non root, implementazione di una solida segmentazione della rete e protezione del demone Docker e dell'host. Impara suggerimenti e tecniche attuabili per costruire un ambiente containerizzato più sicuro e difenderti dalle minacce comuni.

Top 5 Best Practices di Sicurezza Docker per Proteggere le Tue Applicazioni

La sicurezza Docker inizia prima che un container venga eseguito. La tua immagine potrebbe includere pacchetti vulnerabili, il tuo container potrebbe essere eseguito con più privilegi del necessario, oppure il tuo socket Docker potrebbe dare a un attaccante un percorso diretto verso l'host.

Queste cinque best practice di sicurezza Docker si concentrano sui controlli che fanno la differenza più grande nella quotidianità: immagini fidate, superfici di runtime ridotte, processi non root, accesso di rete limitato e un demone protetto.

1. Scansiona Regolarmente le Immagini Docker per Vulnerabilità

Uno dei passaggi più critici nella sicurezza Docker è assicurarsi che le immagini dei container che distribuisci siano prive di vulnerabilità note. Le immagini sono gli elementi costitutivi dei tuoi container e, se un'immagine contiene codice dannoso o software obsoleto e vulnerabile, la tua applicazione eredita questi rischi.

Perché la Scansione delle Immagini è Cruciale

  • Identificare Exploit Noti: Gli scanner di immagini possono rilevare vulnerabilità note pubblicamente (CVE) nei pacchetti del sistema operativo e nelle dipendenze dell'applicazione all'interno delle tue immagini.
  • Prevenire Attacchi alla Catena di Fornitura: Assicurati che le immagini di base che utilizzi non siano state manomesse o contengano payload dannosi.
  • Mantenere la Conformità: Molti quadri normativi richiedono la scansione regolare delle vulnerabilità per i componenti software.

Strumenti e Tecniche

Diversi strumenti possono aiutarti a scansionare le tue immagini Docker:

  • Docker Scout: Lo strumento di analisi delle immagini di Docker, disponibile tramite i prodotti Docker e i flussi di lavoro CLI a seconda della tua configurazione.
  • Trivy: Uno scanner open-source e facile da usare che trova vulnerabilità in immagini container, repository Git e altro.
  • Clair: Un altro strumento open-source di analisi statica delle vulnerabilità per container.
  • CLI di Trivy:
    trivy image your-docker-image:tag

Best Practice: Integra la scansione delle immagini nel tuo pipeline di Continuous Integration/Continuous Deployment (CI/CD). Questo assicura che le immagini vengano scansionate prima di essere distribuite in produzione, impedendo che immagini vulnerabili raggiungano ambienti live.

2. Minimizza la Superficie di Attacco del Container Utilizzando Immagini di Base Minime

Il principio del minimo privilegio si estende anche alle immagini dei container. Più piccola e focalizzata è la tua immagine di base, minori saranno le potenziali vulnerabilità che conterrà e più difficile sarà per un attaccante sfruttarla.

Perché le Immagini Minime Sono Importanti

  • Numero Ridotto di Vulnerabilità: Meno pacchetti significano meno potenziali punti di ingresso per gli attaccanti.
  • Impronta Più Piccola: Le immagini minime portano a pull e distribuzioni più veloci e consumano meno spazio di archiviazione.
  • Manutenzione Più Facile: Meno software da patchare e gestire.

Scelta di Immagini di Base Minime

  • alpine Linux: Piccola e popolare, ma testa la compatibilità perché usa musl libc invece di glibc.
  • Immagini Distroless: Queste contengono la tua applicazione e le dipendenze di runtime senza una shell o un gestore di pacchetti. Riducano ciò che un attaccante può usare dopo una compromissione, ma possono rendere il debug più difficile.

Esempio: Utilizzo di Alpine come immagine di base

Invece di:

FROM ubuntu:latest
RUN apt-get update && apt-get install -y --no-install-recommends your-app

Considera:

FROM alpine:latest
RUN apk add --no-cache your-app

Suggerimento: Installa solo i pacchetti e le dipendenze di cui la tua applicazione ha assolutamente bisogno. Evita di installare strumenti di sviluppo, shell o utilità non necessarie nelle immagini di produzione.

3. Esegui i Container come Utenti Non Root

A meno che l'immagine non specifichi un altro utente, i processi all'interno di un container Docker vengono eseguiti come root. Se un attaccante ottiene l'esecuzione di codice in quel container, root all'interno del container gli dà più spazio per modificare file, abusare di volumi montati o combinare la compromissione con una configurazione errata di Docker o del kernel.

I Rischi dell'Esecuzione come Root

  • Escalation dei Privilegi: Se un container viene compromesso, l'attaccante ha pieno accesso root all'interno del container. Se il container ha privilegi eccessivi sull'host, questo può portare a una compromissione dell'host.
  • Manomissione dei Dati: Gli utenti root possono modificare qualsiasi file all'interno del filesystem del container.

Implementazione dell'Esecuzione Non Root

  • Crea un Utente Dedicato: Nel tuo Dockerfile, crea un utente e un gruppo non root, quindi passa a quell'utente prima di eseguire la tua applicazione.
  • Imposta i Permessi dei File: Assicurati che i file e le directory dell'applicazione siano di proprietà dell'utente non root.

Esempio di frammento di Dockerfile:

# Crea un utente e un gruppo non root
RUN addgroup -S appgroup && adduser -S appuser -G appgroup

# Copia i file dell'applicazione e imposta la proprietà
COPY --chown=appuser:appgroup /app /app

# Passa all'utente non root
USER appuser

# Imposta la directory di lavoro
WORKDIR /app

# Comando per eseguire la tua applicazione
CMD ["your-app-executable"]

Attenzione: Assicurati che l'utente con cui viene eseguita la tua applicazione abbia i permessi necessari per accedere e scrivere nelle directory o nei file richiesti. In caso contrario, la tua applicazione potrebbe non avviarsi o funzionare correttamente.

4. Implementa la Segmentazione di Rete e il Minimo Privilegio per la Comunicazione tra Container

La rete è un aspetto critico della sicurezza dei container. I container possono comunicare quando condividono una rete Docker e il servizio di destinazione è in ascolto. Tratta ogni rete Docker come un confine di fiducia. Un container web compromesso non dovrebbe raggiungere automaticamente il tuo database, cache, interfaccia di amministrazione o lavori interni.

Vantaggi della Segmentazione di Rete

  • Limitare il Raggio di Esplosione: Se un container viene compromesso, la segmentazione di rete può impedirgli di accedere ad altri container o servizi sensibili.
  • Controllare il Flusso del Traffico: Definisci con precisione quali container possono comunicare tra loro e su quali porte.
  • Migliorare la Postura di Sicurezza: Applica il principio del minimo privilegio per l'accesso alla rete.

Best Practice di Rete Docker

  • Utilizza Reti Definite dall'Utente: Invece di fare affidamento sulla rete bridge predefinita, crea reti personalizzate per ogni applicazione o livello. Le reti bridge definite dall'utente forniscono anche la scoperta di servizi basata su DNS integrata tramite il nome del container.
    docker network create my-app-network
docker run --network my-app-network ...
  • Limita l'Accesso ai Container: Se un frontend deve solo chiamare un'API, metti questi due servizi su una rete e tieni il database su una rete backend separata condivisa solo con l'API.
  • Utilizza Regole del Firewall (Livello Host): Implementa regole del firewall a livello host (es. iptables) per limitare ulteriormente il traffico di rete verso e dai container.
  • Considera i Plugin di Rete: Per politiche di rete e segmentazione più avanzate, esplora i plugin di rete Docker o le piattaforme di orchestrazione dei container come Kubernetes, che offrono politiche di rete sofisticate.

Suggerimento: Rivedi regolarmente le configurazioni di rete dei tuoi container e le liste di controllo degli accessi per assicurarti che siano allineate con i tuoi requisiti di sicurezza e il principio del minimo privilegio.

5. Proteggi il Tuo Demone Docker e Host

Il demone Docker stesso è un componente potente che interagisce direttamente con il sistema operativo host. Se il demone Docker viene compromesso, un attaccante potrebbe ottenere un controllo significativo sull'intero ambiente Docker, inclusa la macchina host.

Proteggere il Demone Docker

  • Limita l'Accesso al Demone: Assicurati che il socket del demone Docker (/var/run/docker.sock) non sia esposto a utenti o applicazioni non fidati. Concedi l'accesso solo agli utenti autorizzati.
  • Utilizza TLS per l'Accesso Remoto al Demone: Se esponi l'API Docker su TCP, proteggila con TLS e autenticazione del client. Evita di esporla del tutto a meno che non ci sia una chiara necessità operativa.
  • Preferisci la Modalità Rootless Dove si Adatta: Docker rootless può ridurre il rischio a livello host per alcuni carichi di lavoro, anche se ha compromessi di rete e funzionalità che dovresti testare.

Proteggere l'Host Docker

  • Mantieni Aggiornato il Sistema Operativo Host: Applica regolarmente patch e aggiornamenti al sistema operativo sottostante del tuo host Docker per correggere le vulnerabilità di sicurezza.
  • Rafforza l'Host: Applica configurazioni di hardening alla macchina host, come disabilitare servizi non necessari, configurare firewall e applicare controlli di accesso rigorosi.
  • Monitora l'Attività dell'Host: Implementa logging e monitoraggio robusti per l'host Docker per rilevare attività sospette.
  • Utilizza Strumenti di Sicurezza: Impiega sistemi di rilevamento delle intrusioni basati sull'host, logging di audit e monitoraggio del runtime dove si adattano al tuo ambiente.
  • Rimuovi i Privilegi Non Necessari: Evita --privileged, rimuovi le capacità Linux di cui non hai bisogno e utilizza filesystem di sola lettura dove la tua applicazione lo supporta.

Best Practice: Esegui regolarmente audit della configurazione del tuo demone Docker e della postura di sicurezza dei tuoi host Docker. Considera l'utilizzo di strumenti di benchmarking della sicurezza come CIS Docker Benchmark per valutare e migliorare le tue impostazioni di sicurezza.

Conclusione

Rendi la sicurezza Docker parte del normale percorso di distribuzione. Scansiona le immagini in CI, mantieni le immagini di produzione piccole, esegui come utente non root, isola i servizi per rete e proteggi l'host Docker come un sistema di alto valore. Inizia con un servizio, applica questi controlli, quindi trasforma il modello nel tuo template predefinito.