ESET Server Security for Linux – Spis treści

Zabezpieczenia kontenerów

Skopiuj adres URL bieżącego artykułu Udostępnij przez e-mail

Ten artykuł (PDF) Cała dokumentacja (PDF)

Serwery systemu Linux są często podstawą do uruchamiania kontenerów platformy Docker i narzędzi aranżacji platformy Docker. Funkcja zabezpieczeń kontenerów jest częścią ochrony systemu plików w czasie rzeczywistym w ESET Server Security for Linux.

ESET Server Security for Linux może wykrywać zagrożenia lub podejrzane działania w kontenerze i blokować je, ale nie może ich wyeliminować. Oznacza to, że wykonanie podejrzanego skryptu zostanie zablokowane, ale nie zostanie on usunięty. Można go usunąć ręcznie.

Ochrona systemu plików w czasie rzeczywistym

Ochrona systemu plików w czasie rzeczywistym firmy ESET może skanować kontener w następujących fazach:

•proces budowania obrazu kontenera

•wdrażanie obrazu kontenera na komputerze chronionym przez ESSL

Działania wewnątrz kontenera są również skanowane w czasie rzeczywistym w poszukiwaniu podejrzanego zachowania.

Ochrona dostępu do stron internetowych

Ochrona dostępu do stron internetowych jest obsługiwana tylko w przypadku kontenerów w sieci hosta. Kontenery w innego typu sieciach pozostają niechronione. Cały ruch HTTP jest skanowany automatycznie, gdy kontener znajduje się w sieci hosta. Aby włączyć skanowanie ruchu HTTPS, zaimportuj certyfikat ESET-SSL-Filter-CA.pem do kontenera.

Certyfikat znajduje się w:

/etc/ssl/certs/

lub

/etc/pki/ca-trust/extracted/pem/

Skanowanie na żądanie

Skanowanie na żądanie może usunąć infekcję, jeśli zainfekowany plik znajduje się w publicznym punkcie montowania i nie jest ukryty w prywatnej przestrzeni nazw.

Platforma Kubernetes

Na platformie Kubernetes z containerd wykrywane jest wdrożenie zainfekowanego kontenera, a wdrożenie kończy się niepowodzeniem.

Przykład wykrywania plików w dziennikach:

09.09.2024 13:56:43,1,Real-time file system protection,file:///var/lib/rancher/k3s/agent/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/82/fs/eicar.com,Eicar,Test file,Cleaned by deleting,root,/var/lib/rancher/k3s/data/e50868881d9744d0d0027dda983507e867b3787482eb00005d97239d9aa501a5/bin/k3s,Event occurred on a newly created file.,3395856CE81F2B7382DEE72602F798B642F14140,@NAME=Eicar@TYPE=Teststring@SUSP=inf

Nie można uruchomić zasobnika i rejestruje błąd ściągania:

root@userr-kubernetes:~/k8s_test# kubectl describe pods

...

Normal Pulling 7m47s (x4 over 10m) kubelet Pulling image "user/ubuntu_with_eicar:1.0"

Warning Failed 7m27s (x4 over 9m48s) kubelet Error: ErrImagePull

Na platformie Kubernetes z CRI-O wdrożenie zainfekowanego kontenera jest tylko wykrywane, ale nie czyszczone, a kontener jest uruchamiany.

Gdy izolacja sieci jest aktywna:

•Komunikacja między kontenerami w sieci mostka jest zablokowana.

•Komunikacja z kontenerów sieciowych nakładki do hosta jest zablokowana.

•Ochrona dostępu do stron internetowych nie skanuje komunikacji kontenera.

W firmie ESET przeprowadziliśmy testy:

•Docker CE

•Platforma Kubernetes z containerd

•Platforma Kubernetes z CRI-O

˄˅