Seguridad de contenedor

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

Los servidores Linux suelen ser la base sobre la que se ejecutan contenedores Docker y herramientas de orquestación Docker. La función de seguridad de contenedor forma parte de la protección del sistema de archivos en tiempo real de ESET Server Security for Linux.

ESET Server Security for Linux puede detectar amenazas o actividades sospechosas en un contenedor y bloquearlas, pero no las puede eliminar, lo que significa que se bloqueará la ejecución de un script sospechoso, pero no se eliminará. Puede eliminarla manualmente.

Protección del sistema de archivos en tiempo real

La protección del sistema de archivos en tiempo real de ESET puede analizar el contenedor en las siguientes fases:

•Proceso de construcción de la imagen del contenedor

•Implementación de la imagen del contenedor en un equipo protegido por ESSL

La actividad dentro del contenedor también se analiza en tiempo real en busca de comportamiento sospechoso.

Protección del acceso a la Web

La protección de acceso a la web solo se admite para contenedores en la red cliente. Los contenedores de cualquier otro tipo de red permanecen desprotegidos. Todo el tráfico HTTP se analiza automáticamente cuando un contenedor está en la red cliente. Para activar el análisis del tráfico HTTPS, importe el certificado ESET-SSL-Filter-CA.pem en el contenedor.

El certificado se encuentra en:

/etc/ssl/certs/

o bien

/etc/pki/ca-trust/extracted/pem/

Análisis a petición

Un análisis a petición puede desinfectar el archivo infectado si este se encuentra en un punto de montaje público y no está oculto en un espacio de nombres privado.

Kubernetes

En Kubernetes con containerd, se detecta la implementación del contenedor infectado y la implementación falla.

Ejemplo de detección de archivos en registros:

09.09.2024 13:56:43,1,Real-time file system protection,file:///var/lib/rancher/k3s/agent/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/82/fs/eicar.com,Eicar,Test file,Cleaned by deleting,root,/var/lib/rancher/k3s/data/e50868881d9744d0d0027dda983507e867b3787482eb00005d97239d9aa501a5/bin/k3s,Event occurred on a newly created file.,3395856CE81F2B7382DEE72602F798B642F14140,@NAME=Eicar@TYPE=Teststring@SUSP=inf

El pod no se puede iniciar y registra el siguiente error de extracción:

root@userr-kubernetes:~/k8s_test# kubectl describe pods

...

Normal Pulling 7m47s (x4 over 10m) kubelet Pulling image "user/ubuntu_with_eicar:1.0"

Warning Failed 7m27s (x4 over 9m48s) kubelet Error: ErrImagePull

En Kubernetes con CRI-O, la implementación del contenedor infectado solo se detecta, pero el contenedor no se desinfecta y se inicia un contenedor.

Cuando el aislamiento de la red está activo:

•Se bloquea la comunicación entre contenedores en el puente de red.

•Se bloquea la comunicación de los contenedores de la red superpuesta al cliente.

•La protección de acceso a la web no analiza la comunicación del contenedor.

En ESET hemos probado:

•Docker CE

•Kubernetes con containerd

•Kubernetes con CRI-O

˄˅