Container e sicurezza, un dibattito sempre aperto

I container hanno ormai conquistato il mercato ma nella community è ancora aperto il dibattito sulle migliori strategie di sicurezza

Docker containers

I container sono a tutti gli effetti uno dei trend di maggior successo del 2015. Tutti i principali player del mercato, con le rispettive piattaforme cloud, offrono supporto alla tecnologia rilanciata intelligentemente da startup come Docker.

Come abbiamo inoltre avuto modo di vedere, altri protagonisti si sono affacciati sulla scenapresentando personali “interpretazioni” della tecnologia e dando ufficialmente il via alla “guerra dei container” (annuncio di CoreOS).

Il dibattito relativo alla messa in sicurezza dei container è un altro tema importante attualmente in discussione nella community e l’editorialista Sean Michael Kerner  di Server Watch, che ha partecipato a due dei maggiori eventi dedicati ai container (DockerCon EU e Tectonic Summit), ha colto l’occasione per fare il punto della situazione su tale argomento. Vediamo sinteticamente quanto ha appreso nelle due convention appena citate.

Sicurezza tra hardware, hypervisor e gestione delle identità

In primo luogo si osserva che, sebbene le tecnologie di protezione presentate da Docker e CoreOS siano simili, l’approccio risulta in parte differente: il primo, grazie a Nautilus, focalizza la propria attenzione sulla scansione delle immagini delle applicazioni mentre il secondo, con Clair Project, su quella delle immagini container (in cerca di eventuali vulnerabilità).

In secondo luogo anche l’hardware sembra giocare un ruolo di primaria importanza: CoreOS si affida alle specifiche Trusted Platform Module (TPM), in modo da creare una “catena” di applicazioni container autorizzate e verificate; Docker si affida alle soluzioni progettate da Yubico, dei piccoli dispositivi hardware che consentono di effettuare una procedura di autenticazione in due passaggi (via USB in questo caso, possibile anche in modalità “contactless”).

Tra le altre questioni affrontate nel corso dei meeting, anche la gestione delle identità degli user e la procedura ideale da adottare per ottenere il totale isolamento ed un elevato livello di sicurezza per i container. Dal dibattito è emerso che l‘utilizzo di un hypervisor è altamente consigliato – CoreOS, come nota l’editorialista, grazie al rocket container engine, che integra la tecnologia Clear Containers sviluppata da Intel (si tratta di un hypervisor sviluppato appositamente per operare con i container), segue alla lettera la best practice.

Tirando le somme, conclude l’editorialista, le basi per uno standard di sicurezza per i container sono state tracciate, anche se nuove idee ed inediti approcci non hanno ancora avuto il modo di emergere sulla scenacon l’evolversi della tecnologia, saranno gli addetti ai lavori (ricercatori che operano nel campo della sicurezza informatica) ad evidenziare eventuali vulnerabilità dei container.

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *