ESET Server Security for Linux – Sommaire

Sécurité des conteneurs

Copier l'URL de l'article actuel Partager par e-mail

Cet article (PDF) Documentation complète (PDF)

Les serveurs Linux constituent souvent une base pour l'exécution des conteneurs Docker et des outils d'orchestration Docker. La fonctionnalité de sécurité des conteneurs fait partie de la protection en temps réel du système de fichiers dans ESET Server Security for Linux.

ESET Server Security for Linux peut détecter des menaces ou une activité suspecte dans un conteneur et les bloquer, mais il ne peut pas les éliminer. Cela signifie que l'exécution d'un script suspect sera bloquée mais que le script ne sera pas supprimé. Vous pourrez le supprimer manuellement.

Protection en temps réel du système de fichiers

La protection en temps réel du système de fichiers d’ESET peut analyser un conteneur dans les phases suivantes :

•processus de création de l’image de conteneur

•déploiement de l’image de conteneur sur une machine protégée par ESSL

L’activité dans le conteneur est également analysée en temps réel pour rechercher un comportement suspect.

Protection de l’accès Web

La protection de l'accès web n'est prise en charge que pour les conteneurs sur le réseau hôte. Les conteneurs sur tout autre type de réseau ne sont pas protégés. Tout le trafic HTTP est analysé automatiquement lorsqu'un conteneur se trouve sur le réseau hôte. Pour activer l'analyse du trafic HTTPS, importez le certificat ESET-SSL-Filter-CA.pem dans le conteneur.

Le certificat se trouve dans :

/etc/ssl/certs/

éventuellement

/etc/pki/ca-trust/extracted/pem/

Analyses à la demande

Une analyse à la demande peut nettoyer l'infection si le fichier infecté se trouve à un point de montage public et n'est pas caché dans un espace de noms privé.

Kubernetes

Dans Kubernetes avec containerd, le déploiement du conteneur infecté est détecté et le déploiement échoue.

Exemple de détection de fichiers dans les journaux :

09.09.2024 13:56:43,1,Real-time file system protection,file:///var/lib/rancher/k3s/agent/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/82/fs/eicar.com,Eicar,Test file,Cleaned by deleting,root,/var/lib/rancher/k3s/data/e50868881d9744d0d0027dda983507e867b3787482eb00005d97239d9aa501a5/bin/k3s,Event occurred on a newly created file.,3395856CE81F2B7382DEE72602F798B642F14140,@NAME=Eicar@TYPE=Teststring@SUSP=inf

Le pod ne peut pas démarrer et enregistre l'erreur d'extraction suivante :

root@userr-kubernetes:~/k8s_test# kubectl describe pods

...

Normal Pulling 7m47s (x4 over 10m) kubelet Pulling image "user/ubuntu_with_eicar:1.0"

Warning Failed 7m27s (x4 over 9m48s) kubelet Error: ErrImagePull

Dans Kubernetes avec CRI-O, le déploiement du conteneur infecté est uniquement détecté, mais n'est pas nettoyé, et un conteneur est démarré.

Lorsque l'isolement réseau est actif :

•La communication entre les conteneurs sur le réseau du pont est bloquée.

•La communication entre les conteneurs du réseau superposé et l'hôte est bloquée.

•La protection de l'accès web n'analyse pas les communications des conteneurs.

Chez ESET, nous avons testé :

•Docker CE

•Kubernetes avec containerd

•Kubernetes avec CRI-O

˄˅