ESET Server Security for Linux – Tabla de contenido

Seguridad de contenedores

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

Con frecuencia, los servidores Linux son una base para ejecutar los contenedores de Docker y las herramientas de organización de Docker. La función de seguridad de los contenedores forma parte de la protección del sistema de archivos en tiempo real en ESET Server Security for Linux.

ESET Server Security for Linux puede detectar amenazas o actividades sospechosas en un contenedor y bloquearlas, pero no las puede eliminar. Es decir, un script sospechoso se bloqueará de la ejecución, pero no se eliminará. Lo puede eliminar de manera manual.

Protección del sistema de archivos en tiempo real

La protección del sistema de archivos en tiempo real de ESET puede analizar el contenedor en las siguientes fases:

•proceso de construcción de la imagen del contenedor

•implementación de la imagen del contenedor en un equipo protegido por ESSL

La actividad dentro del contenedor también se explora en tiempo real en busca de comportamientos sospechosos.

Protección del acceso a la Web

La protección de acceso a la web solo se admite para contenedores de la red host. Los contenedores de cualquier otro tipo de red permanecen desprotegidos. Todo el tráfico HTTP se explora automáticamente cuando un contenedor está en la red host. Para habilitar la exploración del tráfico HTTPS, importe el certificado ESET-SSL-Filter-CA.pem en el contenedor.

El certificado se encuentra en:

/etc/ssl/certs/

como alternativa

/etc/pki/ca-trust/extracted/pem/

Exploraciones bajo demanda

Una exploración bajo demanda puede limpiar la infección si el archivo infectado se encuentra en un punto de montaje público y no está oculto en un espacio de nombres privado.

Kubernetes

En Kubernetes con containerd, se detecta la implementación del contenedor infectado y se produce un error en la implementación.

Ejemplo de detección de archivos en registros:

09.09.2024 13:56:43,1,Real-time file system protection,file:///var/lib/rancher/k3s/agent/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/82/fs/eicar.com,Eicar,Test file,Cleaned by deleting,root,/var/lib/rancher/k3s/data/e50868881d9744d0d0027dda983507e867b3787482eb00005d97239d9aa501a5/bin/k3s,Event occurred on a newly created file.,3395856CE81F2B7382DEE72602F798B642F14140,@NAME=Eicar@TYPE=Teststring@SUSP=inf

El pod no se puede iniciar y registra el error de extracción:

root@userr-kubernetes:~/k8s_test# kubectl describe pods

...

Normal Pulling 7m47s (x4 over 10m) kubelet Pulling image "user/ubuntu_with_eicar:1.0"

Warning Failed 7m27s (x4 over 9m48s) kubelet Error: ErrImagePull

En Kubernetes con CRI-O, la implementación del contenedor infectado solo se detecta, pero no se limpia, y se inicia un contenedor.

Cuando el aislamiento de red está activo:

•Se bloquea la comunicación entre contenedores en la red puente.

•Se bloquea la comunicación desde los contenedores de red superpuestos hasta el host.

•La protección de acceso a la web no explora la comunicación del contenedor.

En ESET, probamos lo siguiente:

•Docker CE

•Kubernetes con containerd

•Kubernetes con CRI-O

˄˅