Les conteneurs et leurs images peuvent contenir du code malveillant : ils sont ainsi exploités par des cryptojackers. L'Anssi livre en ce début octobre un guide des bonnes pratiques de sécurité quant au déploiement et à l'exécution de conteneurs Docker.
A l'occasion de la Black Hat 2017, deux chercheurs démontraient que les conteneurs Docker pouvaient servir à dissimuler des malwares. Et depuis, de Graboid à Doki, les exemples ne manquent pas quant à l'utilisation des conteneurs et de leurs images à des fins malveillantes. L'Anssi a pris le problème à bras le corps et vient de publier un guide de bonnes pratiques de sécurité à l'attention des développeurs et des DSI relatives au déploiement et à l’exécution de conteneur Docker.
Le document ne traite pas de Docker daemon et la gestion des images Docker, quand bien même ces derniers sont souvent pointés du doigt comme présentant des vulnérabilités exploitables par des attaquants.
Sécuriser le conteneur
"Docker Community Edition (CE) présente peu de vulnérabilités connues. La plupart d’entre elles concernent la création de conteneur à partir d’une image malveillante. Cependant, la sécurité de Docker repose principalement sur les mécanismes de sécurité du noyau et sur des composants externes. Des vulnérabilités les affectant peuvent donc être exploitées pour compromettre Docker ou son hôte" précise l'Anssi.
Le document livre donc ses recommandations, notamment sur le cloisonnement du conteneur et de ses ressources, la restriction des privilèges (écriture de l'espace de stockage, lecture du système de fichiers racine, stockage des données non persisantes, restrictions du répertoire et des fichiers sensibles, namespaces dédiés...) ou encore la journalisation du conteneur. Des recommandations qui suivent le document de référence publié sur le même sujet par le Center for Internet Security (CIS).