Безпека контейнера

Скопіювати URL-адресу поточної статті Поділитись електронною поштою

Ця стаття (PDF) Повна документація (PDF)

Сервери Linux часто використовуються як база для виконання контейнерів і інструментів оркестрації Docker. Функція захисту контейнера є частиною захисту файлової системи в режимі реального часу в ESET Server Security for Linux.

ESET Server Security for Linux може виявляти загрози або підозрілу активність у контейнері й блокувати їх, але не може видаляти загрози. Це означає, що виконання підозрілого сценарію буде заблоковано, проте сам сценарій не буде видалено. Його можна видалити вручну.

Захист файлової системи в режимі реального часу

Захист файлової системи в режимі реального часу від ESET може сканувати контейнер на таких етапах:

•процес побудови образу контейнера;

•розгортання образу контейнера на комп’ютері, захищеному ESSL.

Активність у контейнері також сканується на наявність підозрілої поведінки в реальному часі

Захист доступу до Інтернету

Захист доступу до інтернету підтримується лише для контейнерів у хост-мережі. Контейнери в мережах іншого типу залишаються незахищеними. Коли контейнер перебуває в хост-мережі, увесь трафік HTTP сканується автоматично. Щоб увімкнути сканування трафіку HTTPS, імпортуйте в контейнер сертифікат ESET-SSL-Filter-CA.pem.

Сертифікат можна знайти тут:

/etc/ssl/certs/

альтернативний варіант

/etc/pki/ca-trust/extracted/pem/

Сканування на вимогу

Сканування на вимогу може очистити зараження, якщо інфікований файл перебуває в загальнодоступній точці підключення й не прихований у приватному просторі імен.

Kubernetes

У Kubernetes із containerd виявлено розгортання зараженого контейнера, яке завершується помилкою.

Приклад виявленого об’єкта в журналах:

09.09.2024 13:56:43,1,Real-time file system protection,file:///var/lib/rancher/k3s/agent/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/82/fs/eicar.com,Eicar,Test file,Cleaned by deleting,root,/var/lib/rancher/k3s/data/e50868881d9744d0d0027dda983507e867b3787482eb00005d97239d9aa501a5/bin/k3s,Event occurred on a newly created file.,3395856CE81F2B7382DEE72602F798B642F14140,@NAME=Eicar@TYPE=Teststring@SUSP=inf

Модуль не може запуститись і видає помилку отримання даних:

root@userr-kubernetes:~/k8s_test# kubectl describe pods

...

Normal Pulling 7m47s (x4 over 10m) kubelet Pulling image "user/ubuntu_with_eicar:1.0"

Warning Failed 7m27s (x4 over 9m48s) kubelet Error: ErrImagePull

У Kubernetes із CRI-O розгортання зараженого контейнера лише виявляється, але не очищується, при цьому контейнер запускається.

Якщо ізоляція мережі активна:

•Зв’язок між контейнерами через мостову мережу блокується.

•Зв’язок між контейнерами в накладених мережах і хостом блокується.

•Захист доступу до інтернету не сканує зв’язок із контейнерами.

В ESET було протестовано:

•Docker CE

•Kubernetes із containerd

•Kubernetes із CRI-O

˄˅