В числе важных новостей, обнародованных фирмой Docker на конференции DockerCon EU в ноябре 2015 г., было сообщение об инициативе Project Nautilus по сканированию репозиториев Docker для выявления уязвимостей в системе безопасности. Прошло полгода, и теперь компания выпускает разработки Nautilus в свет в виде продукта под названием Docker Security Scanning. В дополнение к этому новому ПО для обеспечения безопасности компания выпустила обновление Docker Bench, средства обеспечения безопасности контейнеров на базе наилучших практик, еще более усиливающее общий инструментарий безопасности Docker.
«Темой нашего анонса на DockerCon было использование Nautilus исключительно для официальных репозиториев Docker, и мы не имели в виду сквозного контроля цепочки поставок ПО», — пояснил Натан Маколи, директор Docker по вопросам безопасности.
По его словам, Docker Security Scanning в настоящее время доступен для бесплатного тестирования в течение ограниченного времени пользователям частного репозитория Docker Cloud, а со временем эта возможность будет предоставлена всем пользователям репозитория Docker Cloud. Стартовая стоимость продукта в виде дополнительного сервиса к планам частных репозиториев составляет 2 долл. на репозиторий. Docker Security Scanning можно будет использовать и как интегрированную функцию Docker Datacenter — главного коммерческого продукта фирмы Docker, официально дебютировавшего в феврале нынешнего года.
Docker Security Scanning предназначен помогать разработчикам и предприятиям находить и идентифицировать известные уязвимости в образах контейнеров Docker. По словам Макколи, продукт применим ко всем официальным образам репозитория Docker Hub, включающего образы контейнеров. Официальный выпуск продукта даст возможность подписчикам Docker Cloud сканировать свои частные репозитории.
«Раньше ИТ-персоналу приходилось полагаться на информацию, публикуемую конкретными поставщиками ПО о состоянии своего контента, и активно отслеживать базы данных CVE (Common Vulnerability and Exposures) по известным уязвимостям. Docker Security Scanning осуществляет поиск известных CVE и формирует материальную ведомость для образов Docker, используя статический анализ каждого просканированного образа», — говорит Макколи.
В настоящее время Docker Security Scanning разыскивает лишь известные уязвимости, зарегистрированные в CVE. Динамический же анализ для поиска в образах контейнеров Docker потенциально неизвестных уязвимостей, по словам Макколи, пока не осуществляется. Аналогичная разработка есть и у конкурента Docker, компании CoreOS; она называется Clair, и ее последнее обновление в марте этого года наречено версией 1.0.
Наряду с известными уязвимостями свою долю риска несут и ошибки в конфигурировании, и тут в игру вступает инструмент Docker Bench. Впервые Docker Bench был представлен год назад параллельно с отчетом организации Center for Internet Security (CIS), аттестовавшим наилучшие практики безопасности при развертывании контейнеров Docker. Первичный отчет CIS был приурочен к выпуску Docker 1.6, а нынешний новый бенчмарк CIS соответствует новой версии Docker 1.11. По словам Макколи, новый отчет дополнен рекомендациями для ряда новых функций, добавленных после выхода прошлой версии.
«Сюда входят такие вещи, как работа с пользовательскими пространствами имен и использование плагинов авторизации, — пояснил он. — Кроме того, добавлены проверки, связанные с рекомендацией не отключать новые функции изоляции типа seccomp».
В целом Docker Bench и Docker Security Scanning, по словам Макколи, охватывают разные аспекты обеспечения безопасности инфраструктуры Docker. Docker Bench позволяет сканировать параметры конфигурации хост-системы Docker.
«Docker Bench ориентирует на наилучшие практики конфигурирования хост-системы, на которой у вас будут запускаться контейнеры Docker, — сказал он. — А Docker Security Scanning отвечает за сканирование самих образов контейнеров Docker и позволяет выяснить, нет ли внутри этих образов известного уязвимого ПО».