Skip to content

Drucksache: PHP Magazin 2.19 - Docker-Sicherheit

Im PHP Magazin 2.2019 ist ein Artikel über die Sicherheit von Docker erschienen - als Titelthema!

Eine Leseprobe des Artikels gibt es auf entwickler.de.

Eine Webanwendung in einen Docker-Container zu verpacken hat viele Vorteile. Aber ist das auch sicher? Vielleicht sogar sicherer als bei einer Ausführung direkt auf dem Server? Oder nicht vielleicht doch sogar gefährlicher? Immerhin ist da ja mit Docker eine zusätzliche Komponente im Spiel, mit eigenen Schwachstellen und möglichen Problemen.

Und gab es nicht sogar Berichte über mit Schadsoftware infizierte Container? Und Vorträge zu Docker auf den Sicherheitskonferenzen? Das gab beides, und die waren auch der Grund für diesen Artikel.

Zusammengenommen spricht nichts gegen den Einsatz von Docker.

Das einzige durch Docker neu entstandene Problem sind die Angriffe über die Docker API. Die inzwischen nur nach einer Fehlkonfiguration möglich sind. Da müssen Sie ggf. eben aufpassen und bei der Freigabe der API für Zugriffe aus dem Internet für einen angemessenen Schutz achten. Das gilt aber genauso auch bei jeder anderen Software, denn alles was aus dem Internet zugänglich ist, muss vor unbefugten Zugriffen geschützt werden.

Ansonsten ändert sich durch den Einsatz von Docker wenig. Im Fall von Webanwendungen ist es für die meisten Angreifer sowieso egal, worauf oder worin die läuft. Erst wenn sie sich auf einem Server häuslich einrichten wollen gibt es mit dem Container und dessen Infrastruktur einige zusätzliche Angriffspunkte. Die sich aber auch schützen lassen.

Beim weiteren Vordringen ins lokale Netz sieht es ähnlich aus, teilweise bemerkt der Angreifer bei Multi-Container-Anwendungen nicht mal, dass er sich in einem virtuellen statt einem realen Netz bewegt. Angreifer, die aus dem Container ausbrechen wollen, finden wahrscheinlich einen Weg dafür. Aber der Container soll den Angreifer ja auch gar nicht einsperren, und zumindest die häufigste Alternative macht es dem Angreifer noch leichter: Läuft die Anwendung direkt auf dem Server, kann er sofort weiter vorstoßen.

Und was die präparierten Images betrifft gilt dafür das gleiche wie für jede andere Software: Passen Sie auf, was sie von wo laden, und dass es sich nicht um Schadsoftware oder anderweitig manipulierte Software handelt. Software aus offiziellen Quellen ist i.A. sicher. Jedenfalls sofern die Quelle nicht gerade kompromittiert ist, was ja auch schon vorgekommen ist. Bei allen anderen Quellen besteht immer die Gefahr, sich einen Trojaner einzufangen. Und das gilt für jede Art von Software, egal ob es ein ausführbares Programm ist, ein Installer, ein Container oder eine Virtuelle Maschine mit vorinstallierter Software, oder was auch immer.

Den Hinweis darauf, dass Docker so wie jede andere Software auch sicher konfiguriert werden muss, kann ich mir ja eigentlich sparen, oder? Das sollte Selbstverständlich sein. Entsprechende Anleitungen gibt es z.B. bei Docker selbst.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Drucksache

Trackbacks

Keine Trackbacks