Nowe wyzwania w bezpieczeństwie kontenerów

Kontenery, używane w ogromnej skali przez takie firmy jak Yelp, pozostają kluczowymi elementami nowoczesnych infrastruktury IT. Jednak ich popularność niesie za sobą poważne wyzwania w zakresie zabezpieczeń. Jak zauważył Tom Robinson, inżynier oprogramowania z Yelp, konieczność balansowania pomiędzy spełnianiem potrzeb biznesowych a zapewnieniem bezpieczeństwa aplikacji to trudne zadanie. Według specjalistów, atakujący najczęściej zaczynają wewnątrz kontenera, następnie eksplorują system w poszukiwaniu luk prowadzących do kluczowych danych lub zasobów.

Aby odpowiedzieć na te potrzeby, Yelp opracował model dojrzałości bezpieczeństwa kontenerów. Dzięki automatyzacji sprawdzania zgodności i wdrażaniu najlepszych praktyk możliwe jest zwiększenie ochrony w środowiskach skalowalnych. Kluczowe jest zrozumienie poziomów dostępu, poziomów wrażliwości danych oraz potencjalnych skutków naruszeń bezpieczeństwa.

Minimalistyczne obrazy kontenerów: „distroless”

Tradycyjnie kontenery były budowane na bazie systemów operacyjnych takich jak Linux, co dodawało wiele zbędnych bibliotek i zwiększało rozmiar obrazów. W ostatnich latach wprowadzono koncepcję „distroless”, czyli tworzenia obrazów pozbawionych zbędnych komponentów. Dzięki temu obrazy mogą być mniejsze nawet o setki megabajtów, co czyni je bardziej efektywnymi i bezpiecznymi.

Narzędzia takie jak Google Bazel czy Chainguard’s Apko umożliwiają budowanie tych minimalistycznych obrazów. Z kolei Canonical opracował kontenery typu LTS (Long Term Support) kompatybilne z formatem Open Container Initiative (OCI), które są idealne do wykorzystania w środowiskach Kubernetes.

Minimalistyczne obrazy nie tylko redukują zużycie zasobów, ale także zwiększają możliwości ich zgodności oraz zabezpieczenia przed niepotrzebnymi, ukrytymi lukami w zabezpieczeniach.

Zero dodatkowych kosztów sieciowych z Netkit i eBPF

W 2024 roku wprowadzono do jądra Linux nowe funkcjonalności umożliwiające praktycznie bezobsługową komunikację sieciową w kontenerach. Dzięki Netkit oraz technologii eBPF możliwe jest bypassowanie tradycyjnych mechanizmów routingu w stosie sieciowym, co zauważalnie przyspiesza przesyłanie pakietów pomiędzy kontenerami.

Jak tłumaczy Liz Rice z firmy Isovalent, podejście to eliminuje konieczność dwukrotnego przetwarzania pakietów przez stosy sieciowe, co upraszcza proces i redukuje opóźnienia. W rezultacie zwiększa to wydajność komunikacji w środowiskach kontenerowych, zbliżając ją do tej osiąganej w przypadku sieci hosta.

Dockerfiles – tradycyjna, ale wciąż dominująca metoda

Pomimo licznych innowacji wokół budowania i zarządzania kontenerami, tradycyjne Dockerfiles wciąż dominują w zastosowaniach deweloperskich. Są one łatwe do zrozumienia i wdrożenia, co czyni je preferowanym rozwiązaniem dla większości inżynierów.

Jak zauważa Matt Moore, CTO firmy Chainguard, pomimo jego osobistych zastrzeżeń wobec Dockerfiles, ich pragmatyczność i powszechność nadal sprawiają, że jest to niezastąpione narzędzie do zarządzania kontenerami. Niemniej jednak, narzędzia takie jak ko, Jib i CNCF buildpacks nabierają rozpędu dzięki oferowaniu bardziej świadomych i zoptymalizowanych rozwiązań.

Chociaż Dockerfiles pozostają popularne, przyszłość budowy kontenerów może coraz bardziej przesuwać się w stronę bardziej zautomatyzowanych i lekkich rozwiązań.