Agence web » Actualités du digital » Comment le programme d’éditeur vérifié de Docker contribue à votre sécurité –

Comment le programme d’éditeur vérifié de Docker contribue à votre sécurité –

Logo Docker

Docker facilite la rotation des conteneurs. Mais comment savoir si un conteneur extrait de Docker Hub contient des portes dérobées ou des logiciels malveillants ? L’initiative Verified Publisher de Docker répond à cette préoccupation.

La popularité fait de vous une cible

Les cybercriminels n’aiment rien de plus que les voies faciles vers les machines des victimes et, inutile de le dire, plus on est de fous. Si un produit ou une plate-forme devient extrêmement populaire, vous pouvez parier qu’il attire l’attention des acteurs de la menace qui tenteront de tirer parti de ce succès à leur avantage.

Docker est un leader mondial de la conteneurisation. Pour beaucoup de gens, c’est le premier nom qui vient à l’esprit lorsque des conteneurs sont mentionnés. Les conteneurs permettent aux développeurs d’encapsuler une application et ses dépendances dans un package autonome appelé image. Cela facilite la distribution du package car tout ce qui est nécessaire pour exécuter l’application est contenu dans l’image. Il n’y a jamais de dépendances non satisfaites, quelle que soit la machine sur laquelle le conteneur s’exécute.

Les conteneurs peuvent être considérés comme des machines virtuelles minimalistes. S’ils fournissent une application, ils n’ont pas besoin d’un système d’exploitation à l’intérieur du conteneur. Ils ont juste besoin des dépendances de l’application. Cela réduit la taille des images et améliore les performances lorsque le conteneur est en cours d’exécution. Le contenu du conteneur s’exécute sur le système d’exploitation de l’ordinateur hôte, isolé des autres processus.

Comme il y a moins d’éléments à l’intérieur d’un conteneur nécessitant des ressources et une puissance de calcul par rapport à une machine virtuelle, ils peuvent s’exécuter sur un matériel plus modeste. Cela signifie que vous pouvez en faire fonctionner plus sur un seul matériel, avec de bonnes performances, que sur des machines virtuelles traditionnelles. Même les conteneurs conçus pour fournir différentes distributions Linux ne sont que des instantanés du système de fichiers de la distribution. Ils sont exécutés à l’aide du noyau de l’ordinateur hôte.

Une grande partie de la technologie et des applications à l’intérieur des conteneurs sont open source. Cela signifie qu’ils peuvent être librement distribués et utilisés par n’importe qui. Les conteneurs Docker vous permettent d’adopter la maxime selon laquelle les serveurs doivent être traités comme du bétail, pas comme des animaux domestiques. Les avantages des conteneurs n’ont pas seulement favorisé l’adoption généralisée de l’intégration et du déploiement continus (CI/CD), ils l’ont également rendu possible.

Mirantis a acheté Docker en novembre 2019. À cette époque, Docker Enterprise était utilisé par 30 % des Fortune 100 et 20 % des Global 500. Aujourd’hui, le Docker Hub gère 13 milliards d’images époustouflantes (téléchargements de conteneurs) par mois à partir de près de 8 millions de référentiels.

Ces chiffres sont bien trop impressionnants pour que les cybercriminels les ignorent. Quoi de plus simple que de créer des images compromises et malveillantes, de les télécharger sur Docker Hub et d’attendre que des utilisateurs peu méfiants les téléchargent et les utilisent ?

Le problème des images non sécurisées

Il existe un problème inhérent à l’extraction d’images d’un référentiel et à leur utilisation. Vous ne savez pas s’ils ont été créés dans un souci de sécurité ou si les composants logiciels à l’intérieur du conteneur sont les versions actuelles et toujours dans leur cycle de vie pris en charge. Tous les correctifs de bogues et correctifs de sécurité disponibles leur ont-ils été appliqués ? Ou pire, contiennent-ils du code malveillant qui a été délibérément implanté par des acteurs malveillants ?

Docker est confronté à un problème similaire à Apple et Google. Apple et Google doivent essayer de contrôler l’App Store et Google Play pour les applications malveillantes. Docker adopte une approche légèrement différente. Docker supprime les images de conteneur qui s’avèrent malveillantes. Il fournit également un système de vérification pour les éditeurs de conteneurs.

Dans le passé, Docker supprimait une collection d’images téléchargées par le compte Docker docker123321. Il y avait environ 17 conteneurs de ce seul compte qui contenaient du code malveillant. Les images étaient proposées en tant que conteneurs innocents prenant en charge des applications telles qu’Apache Tomcat et MySQL, mais en plus, les conteneurs hébergeaient du code qui fournissait des shells SSH inversés aux attaquants, leur permettant d’accéder aux conteneurs quand cela leur convenait.

Des shells inversés Python et des shells inversés Bash ont été trouvés, et un conteneur contenait même la clé SSH de l’acteur menaçant. Cela leur a donné un accès à distance sans avoir besoin d’un mot de passe. D’autres conteneurs ont été trouvés pour héberger un logiciel de cryptomining. Cela signifiait que les conteneurs étaient cryptojackés à l’avance. L’utilisateur sans méfiance paierait l’électricité et perdrait de la puissance de traitement pour financer le cryptomining Monero du cybercriminel.

Ces attaques sont un mélange d’attaques de chevaux de Troie et de chaînes d’approvisionnement.

Le programme d’éditeur vérifié

Docker fournit déjà une collection d’images de conteneurs connues sous le nom d’images officielles. Ces images sont un ensemble de conteneurs organisés qui ont été examinés par une équipe Docker dédiée.

L’équipe collabore avec les mainteneurs et fournisseurs en amont du logiciel dans les conteneurs. Les images officielles sont des exemples de bonnes pratiques en matière de conteneurs Docker, notamment une documentation claire et l’application de correctifs de sécurité. Les images officielles de Docker ont récemment été mises à la disposition d’un public plus large via davantage de référentiels.

L’initiative Verified Publisher permet d’accéder au contenu Docker qui se différencie en venant de fournisseurs connus, vérifiés et de confiance. Il y a plus de 200 fournisseurs de logiciels inscrits et ratifiés par le programme, et les chiffres augmentent rapidement. Les images d’éditeurs vérifiés peuvent être utilisées en toute confiance dans les applications et l’infrastructure critiques.

Les programmes Verified Publisher et Official Images sont des programmes complémentaires. La plupart des images de conteneur fournies par les éditeurs vérifiés seront également des images officielles. Une paire de cases à cocher sur la page Explorer de Docker Hub vous permet de spécifier que les résultats de la recherche sont contraints d’inclure des images officielles, des images fournies par des éditeurs vérifiés, ou les deux.

Cases à cocher Éditeurs vérifiés et Images officielles sur Docker Hub

Une initiative bienvenue

Les attaques SolarWinds et CodeCov ont montré à quel point les attaques de la chaîne d’approvisionnement peuvent être efficaces. Attaquer un point central qui compromet ensuite les consommateurs en aval de produits et services est une méthode de distribution efficace. Les conteneurs compromis sont un moyen idéal pour distribuer ce type d’attaque. Il joue sur la conviction que certaines sources d’information et de logiciels sont intrinsèquement sûres et dignes de confiance. Et généralement, c’est le cas. Mais comme nous l’avons vu, c’est une grande hypothèse.

Il est essentiel que les organisations sachent clairement la provenance et l’intégrité des conteneurs qu’elles retirent des référentiels. Les images officielles et les éditeurs vérifiés peuvent être considérés comme une forme de certification qui permet de savoir plus facilement ce qui est fiable dès le départ.

Si vous rendez des images Docker accessibles au public et que vous pensez que devenir un éditeur vérifié vous sera avantageux, vous pouvez commencer le processus de candidature pour faire partie du programme sur la page Web de l’éditeur vérifié.

★★★★★