Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Dominando Variáveis de Ambiente no Docker: Configuração vs. Segredos

Libere implantações Docker seguras e flexíveis dominando as variáveis de ambiente. Este guia completo esclarece a distinção crítica entre usar variáveis de ambiente para configuração geral de aplicações e gerenciar com segurança dados sensíveis como chaves de API e senhas. Aprenda métodos práticos para passar configurações não-sensíveis, entenda os riscos severos de expor segredos via variáveis de ambiente, e descubra como aproveitar o Docker Secrets e o Compose para um gerenciamento de segredos robusto e criptografado. Eleve seu conhecimento em Docker e proteja suas aplicações.

38 visualizações

Dominando Variáveis de Ambiente no Docker: Configuração vs. Segredos

O Docker revolucionou a forma como as aplicações são construídas, distribuídas e executadas, proporcionando um ambiente consistente em vários estágios de desenvolvimento. Um aspecto fundamental do gerenciamento de aplicações conteinerizadas é a sua configuração, e as variáveis de ambiente são um mecanismo primário para isso. No entanto, nem todos os dados são criados iguais; alguma configuração é inofensiva, enquanto outras informações, como chaves de API ou credenciais de banco de dados, são altamente sensíveis. Confundir essas duas categorias pode levar a vulnerabilidades de segurança significativas.

Este artigo se aprofunda na distinção crítica entre usar variáveis de ambiente para configuração geral e os métodos apropriados e seguros para gerenciar dados sensíveis, comumente referidos como "segredos" (secrets). Exploraremos as várias maneiras de passar a configuração para seus contêineres Docker, destacaremos os riscos inerentes de tratar segredos como variáveis de ambiente comuns e apresentaremos as soluções dedicadas do Docker para gerenciamento seguro de segredos. Ao final, você terá uma compreensão clara de quando e como usar cada abordagem, garantindo que suas aplicações sejam tanto flexíveis quanto seguras.

Entendendo Variáveis de Ambiente para Configuração

Variáveis de ambiente são um método direto e amplamente adotado para passar configurações de tempo de execução para aplicações, incluindo aquelas que rodam em contêineres Docker. Elas permitem modificar o comportamento de uma aplicação sem reconstruir a imagem Docker, tornando seus contêineres mais flexíveis e portáteis. Isso é ideal para configurações dinâmicas e não sensíveis, como números de porta da aplicação, sinalizadores de depuração ou URLs de serviços de terceiros.

Métodos para Passar Variáveis de Configuração

O Docker fornece várias maneiras de definir e injetar variáveis de ambiente em seus contêineres:

1. Instrução ENV no Dockerfile

A instrução ENV define uma variável de ambiente padrão que estará disponível dentro do contêiner quando ele for executado. Isso é adequado para variáveis que provavelmente não mudarão ou para fornecer padrões sensatos para sua aplicação.

FROM alpine:latest

ENV APP_PORT=8080
ENV DEBUG_MODE=false

COPY ./app /app
WORKDIR /app
CMD ["/app/start.sh"]

Dica: Embora ENV defina padrões, eles podem ser substituídos no tempo de execução.

2. Flag -e ou --env com docker run

Ao iniciar um único contêiner, você pode usar a flag -e ou --env para passar variáveis de ambiente diretamente. Isso é comum para testes ad-hoc ou para fornecer configurações específicas que diferem dos padrões do Dockerfile.

docker run -d -p 80:8080 --name my_app_instance \n  -e APP_PORT=80 \n  -e DEBUG_MODE=true \n  my_app_image:latest

3. env_file no Docker Compose

Para gerenciar múltiplas variáveis de ambiente, especialmente em vários serviços definidos em um arquivo docker-compose.yml, a opção env_file é muito conveniente. Ela permite carregar variáveis de um ou mais arquivos .env, mantendo seu docker-compose.yml mais limpo.

docker-compose.yml:

version: '3.8'
services:
  webapp:
    image: my_app_image:latest
    ports:
      - "80:8080"
    env_file:
      - ./config/app.env

./config/app.env:

APP_PORT=8080
DEBUG_MODE=false
API_ENDPOINT=https://api.example.com/v1

4. Chave environment no Docker Compose

Alternativamente, você pode definir variáveis de ambiente diretamente dentro da seção environment de um serviço no docker-compose.yml. Isso é frequentemente preferido para um pequeno número de variáveis ou para variáveis que são específicas de um único serviço.

version: '3.8'
services:
  webapp:
    image: my_app_image:latest
    ports:
      - "80:8080"
    environment:
      APP_PORT: 8080
      DEBUG_MODE: false

As Armadilhas de Usar Variáveis de Ambiente para Segredos

Embora as variáveis de ambiente sejam excelentes para configuração, elas são fundamentalmente inseguras para gerenciar dados sensíveis (segredos) como senhas de banco de dados, chaves de API ou chaves SSH privadas. Esta é uma vulnerabilidade de segurança crítica que muitas vezes é ignorada, especialmente em ambientes de desenvolvimento.

Por Que Variáveis de Ambiente São Inseguras para Segredos:

  1. Visibilidade via docker inspect: Qualquer pessoa com acesso ao host Docker pode visualizar facilmente as variáveis de ambiente de um contêiner em execução usando docker inspect <container_id>. Isso significa que seus segredos ficam visíveis em texto simples.

    ```bash

    Exemplo de exposição de um segredo (NÃO FAÇA ISSO EM PRODUÇÃO)

    docker run -d -e DB_PASSWORD=mysecretpassword --name insecure_app nginx:latest

    Qualquer um pode ver a senha

    docker inspect insecure_app | grep DB_PASSWORD
    ```

  2. Espionagem de Processos: Dentro do contêiner, outros processos ou usuários (se múltiplos usuários existirem) podem ser capazes de ler variáveis de ambiente, especialmente se a aplicação for executada como root ou tiver privilégios elevados.

  3. Logs e Histórico: Variáveis de ambiente podem acabar inadvertidamente em logs, histórico de pipelines CI/CD ou histórico de shell, levando à exposição acidental.

  4. Camadas da Imagem: Se você usar ENV em um Dockerfile com um segredo, esse segredo é incorporado a uma camada da imagem e permanece lá, mesmo que você tente usar unset em uma camada posterior. Isso torna o segredo recuperável a partir da própria imagem.

  5. Compartilhamento Acidental: Arquivos .env ou docker-compose.yml contendo segredos são frequentemente confirmados em sistemas de controle de versão ou compartilhados de forma inadequada, levando à exposição generalizada.

Aviso: Tratar informações sensíveis como variáveis de ambiente normais é um erro de segurança comum. Sempre presuma que as variáveis de ambiente são publicamente visíveis no host e dentro do contêiner.

Gerenciando Segredos com Segurança no Docker

Para resolver as deficiências de segurança das variáveis de ambiente para dados sensíveis, o Docker fornece recursos dedicados de gerenciamento de segredos, principalmente através de Docker Secrets (para Docker Swarm) e ferramentas externas como Docker Compose com funcionalidade de secrets (que pode alavancar segredos do Docker Swarm ou simplesmente montar arquivos).

Docker Secrets (Modo Swarm do Docker)

Docker Secrets é um recurso integrado ao modo Docker Swarm que fornece uma maneira segura de transmitir e armazenar dados sensíveis para serviços. Os segredos são:

  • Criptografados em repouso nos logs Raft do gerenciador do Swarm.
  • Transmitidos com segurança para tarefas de serviço autorizadas.
  • Montados como arquivos em memória dentro do sistema de arquivos do contêiner, geralmente em /run/secrets/<nome_do_segredo>, em vez de serem expostos como variáveis de ambiente.
  • Acessíveis apenas por serviços explicitamente concedidos acesso.

Como Usar Docker Secrets (Modo Swarm)

  1. Inicializar Swarm (se ainda não o fez):
    bash docker swarm init

  2. Criar um Segredo: Segredos são criados a partir de um arquivo ou entrada padrão.
    bash echo "my_secure_db_password" | docker secret create db_password_secret - echo "SG.your_api_key_here" | docker secret create sendgrid_api_key -

  3. Implantar um Serviço com o Segredo: Serviços referenciam segredos pelo nome. O Docker monta o segredo no contêiner.
    bash docker service create --name my-webapp \n --secret db_password_secret \n --secret sendgrid_api_key \n my_app_image:latest

  4. Acessando Segredos no Contêiner: Aplicações leem o segredo do caminho do arquivo montado.
    ```python

No seu código de aplicação Python (ou similar para outras linguagens)

with open('/run/secrets/db_password_secret', 'r') as f:
db_password = f.read().strip()

with open('/run/secrets/sendgrid_api_key', 'r') as f:
sendgrid_key = f.read().strip()
```

Docker Compose e Segredos (para host único ou Swarm)

O Docker Compose versão 3.1+ introduziu uma seção secrets, que permite definir e referenciar segredos dentro do seu docker-compose.yml. Ao ser executado no modo Swarm, o Compose alavanca os segredos nativos do Docker Swarm. Ao ser executado em um host único sem o modo Swarm, o Compose ainda suporta segredos montando arquivos do host para o contêiner de forma segura, embora sem a criptografia em repouso fornecida pelo Swarm.

Usando secrets em docker-compose.yml

  1. Definir Segredos: Você pode definir segredos referenciando um arquivo externo ou tornando-o um segredo externo (segredo do Swarm pré-existente).

    ```yaml

    docker-compose.yml

    version: '3.8'

    services:
    webapp:
    image: my_app_image:latest
    ports:
    - "80:8080"
    secrets:
    - db_password
    - sendgrid_api_key

    secrets:
    db_password:
    file: ./secrets/db_password.txt # Caminho para um arquivo no host contendo a senha
    sendgrid_api_key:
    external: true # Refere-se a um segredo do Docker Swarm pré-existente chamado 'sendgrid_api_key'
    ```

  2. Criar Arquivos de Segredo Locais (se file for usado):
    bash mkdir secrets echo "my_local_db_password" > ./secrets/db_password.txt

  3. Implantar com Compose: docker compose up -d implantará seus serviços, tornando os segredos disponíveis em /run/secrets/<nome_do_segredo> dentro dos contêineres.

    ```bash

    Dentro do contêiner, o conteúdo de ./secrets/db_password.txt estará em:

    /run/secrets/db_password

    ```

Escolhendo a Ferramenta Certa: Configuração vs. Segredos

A decisão sobre se deve usar uma variável de ambiente para configuração ou uma solução dedicada de gerenciamento de segredos se resume a uma pergunta principal:

Os dados são sensíveis?

  • Se Sim (dados sensíveis): Use Docker Secrets (com Swarm) ou um sistema semelhante de gerenciamento de segredos (ex: Kubernetes Secrets, HashiCorp Vault). Para configurações Compose de host único, use a seção secrets para montar arquivos com segurança.
  • Se Não (configuração não sensível): Use variáveis de ambiente (via ENV no Dockerfile, flag -e, env_file, ou environment no Compose).
Recurso Variáveis de Ambiente (para config) Docker Secrets (para dados sensíveis)
Propósito Configuração de aplicação não sensível Dados sensíveis (senhas, chaves de API)
Visibilidade Visível via docker inspect, ps -e Montado como arquivos; não em docker inspect
Segurança Inseguro para dados sensíveis Criptografado, transmissão e armazenamento seguros
Acesso na Aplicação Leitura de os.environ (ou similar) Leitura do arquivo /run/secrets/<nome_do_segredo>

Melhores Práticas para Ambos

Para Configuração (Variáveis de Ambiente):

  • Forneça padrões sensatos em seu Dockerfile usando ENV. Isso torna suas imagens executáveis imediatamente e documenta claramente as variáveis esperadas.
  • Externalize a configuração sempre que possível. Use arquivos .env com docker compose ou serviços de configuração externos para implantações maiores.
  • Documente todas as opções de configuração e seus valores esperados, talvez em um README.md ou documentação da aplicação.
  • Evite codificar valores que possam mudar entre ambientes (desenvolvimento, staging, produção).

Para Segredos (Docker Secrets e além):

  • Nunca confirme segredos (ex: arquivos .env contendo segredos, db_password.txt) em sistemas de controle de versão como o Git.
  • Gire os segredos regularmente. Isso minimiza a janela de exposição se um segredo for comprometido.
  • Conceda o mínimo de privilégio. Dê acesso aos serviços apenas aos segredos que eles absolutamente precisam.
  • Evite registrar valores de segredo. Garanta que o log de sua aplicação e infraestrutura não exiba o conteúdo do segredo.
  • Para implantações de nível empresarial em grande escala, considere soluções dedicadas de gerenciamento de segredos como HashiCorp Vault, AWS Secrets Manager ou Azure Key Vault, que oferecem recursos mais avançados, como auditoria, geração dinâmica de segredos e integração com Gerenciamento de Identidade e Acesso (IAM).

Conclusão

Dominar as variáveis de ambiente no Docker significa mais do que apenas saber como passá-las; significa entender a diferença fundamental entre configuração genérica e segredos sensíveis. Embora as variáveis de ambiente ofereçam flexibilidade incomparável para a configuração da aplicação, elas são inerentemente inseguras para dados sensíveis.

Ao alavancar o Docker Secrets para informações sensíveis dentro de um ambiente Swarm, ou ao usar cuidadosamente o recurso secrets do Docker Compose para implantações de host único, você pode aumentar significativamente a postura de segurança de suas aplicações conteinerizadas. Priorize sempre a segurança usando a ferramenta certa para o trabalho, aderindo às melhores práticas e garantindo que seus dados sensíveis permaneçam protegidos contra exposição acidental. Essa abordagem disciplinada levará a implantações Docker mais robustas, mais fáceis de manter e mais seguras.