Docker: Security-Desaster (und was wir daraus lernen können)

Beim Setup und Betrieb von Docker-Images lauern Security-Probleme. Das gilt sowohl für im Team intern entwickelte als auch für öffentlich verfügbare Images. Stefan berichtet aus seinen alltäglichen Erfahrungen aus Operations-Perspektive.

Der Vortrag widmet sich zunächst den verschiedenen Ebenen eines typischen Docker-Images: Beginnend bei den durch die Linux-Distributoren bereitgestellten minimalen Base-Images über vorkonfigurierte Images für den Einsatz von generischen Anwendungen oder Programmiersprachen bis hin zu spezialisierten Images einer spezifischen Applikation werden typische Dockerfiles analysiert. Beispielhaft werden bestehende und oft übersehene Security-Implikationen aufgezeigt und Lösungsansätze vorgeschlagen.

Anschließend wirft der Vortrag einen Blick auf komplexe Applikations-Stacks (Stichwort dockercompose, Helm charts,...), untersucht deren zugrunde liegenden Docker-Images und versucht, aus den zuvor aufgezeigten Problemfeldern ein Bewusstsein für die Risiken und Unwägbarkeiten der Supply Chains von dockerisierten Appliances abzuleiten.

In einem letzten Schritt werden Prozesse, Tools und Workflows vorgeschlagen, die sich in der Praxis bewährt haben. Richtlinien beim Build-Prozess eigener Docker-Images werden vorgestellt. Darüber hinaus werden Ansätze für ein kontinuierliches und umfassendes Security-Monitoring von DockerContainern skizziert.