SlideShare una empresa de Scribd logo

Securite docker generique 2017-03-16

Descargar como PPTX, PDF
SecludIT
SecludIT

présentation de la sécurité de Docker par Frédéric Donnat lors du Workshop "Docker Birthday Celebration #4" des TECHS EVENTS de Telecom Valley

Tecnología
1 de 8
Sécurité Docker Frédéric DONNAT – Directeur Technique et Co-Fondateur fred@secludit.com Téléphone 06 59 98 30 77
Agenda 1. Socle Docker  Infrastructure, Serveur Hôte (OS)  Docker Secure Deployment Guideline  CIS Benchmark : Docker bench Security 2. Image Docker  Registry : Docker Hub  Sécurité propres image docker  Scan : Docker Scanning Services, TwistLock trust, Clair 3. Ecosystème Docker : Non abordé ici  Kubernetes, Mesos, Swarm, etc…
Socle Docker 1. Contraintes  Infrastructure, Server host (OS)  Docker est un « root » daemon  Docker « daemon » socket 2. Sécurité  Bonnes pratiques : Docker Secure Deployment Guidelines  Sécurité du noyau : AppArmor, GRSEC, …  Isolation réseau  Authentification et Autorisation  Canal sécurisé  Traçabilité : Logs, Audit  CIS Benchmark : Docker bench Security
Docker CIS Benchmark • 6 Chapitres  Configuration du serveur hôte  Configuration du « daemon » docker  Fichiers de configuration du daemon » docker  Image de « container » et fichier de « build »  Exécution de « container »  Opérations de sécurité pour Docker • 104 Règles  1.1 Partition dédiée pour les « containers »  2.1 Restriction du traffique entre « containers »  6.1 Faire des audits régulières du système hôte et des « containers »
Exemple : Docker CIS Benchmark Description Test Solution
Image Docker 1. Contraintes  Docker Hub / Docker Image  Partage d’Image  Attaque sur le server Hôte via le container :  DoS  Elévation de privilèges  Partage de ressources et données 2. Sécurité  Principe de « moindre privilège »  Accès, Autorisation, Ressources  Nettoyage : Logs, Clés, Historique, …  Audit des images : Docker Scan
Sécurité Docker : Liens utiles • Guides : • https://docs.docker.com/engine/security/security/ • https://docs.docker.com/docker-cloud/builds/image-scan/ • https://github.com/GDSSecurity/Docker-Secure-Deployment-Guidelines • https://benchmarks.cisecurity.org/tools2/docker/CIS_Docker_1.13.0_Benchmark_v1.0.0.pdf • Outils : • https://github.com/dev-sec/cis-docker-benchmark • https://github.com/coreos/clair/ • https://github.com/cr0hn/dockerscan • https://cloud.docker.com/
Questions ?

Recomendados

Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _Jean-Marc Meessen
 
Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]UltraUploader
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Décideurs IT
 
Apache ssl
Apache sslApache ssl
Apache sslGSI
 
Wilfried woivré windows azure mobile services
Wilfried woivré windows azure mobile servicesWilfried woivré windows azure mobile services
Wilfried woivré windows azure mobile servicesAymeric Weinbach
 
Ze cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreZe cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreAymeric Weinbach
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
Archi tech 2010-09-13
Archi tech 2010-09-13Archi tech 2010-09-13
Archi tech 2010-09-13benjguin
 

Recomendados

Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _Jean-Marc Meessen
 
Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]UltraUploader
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Décideurs IT
 
Apache ssl
Apache sslApache ssl
Apache sslGSI
 
Wilfried woivré windows azure mobile services
Wilfried woivré windows azure mobile servicesWilfried woivré windows azure mobile services
Wilfried woivré windows azure mobile servicesAymeric Weinbach
 
Ze cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreZe cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreAymeric Weinbach
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
Archi tech 2010-09-13
Archi tech 2010-09-13Archi tech 2010-09-13
Archi tech 2010-09-13benjguin
 
Microservices docker-security
Microservices docker-securityMicroservices docker-security
Microservices docker-securitySergio Loureiro
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
The real cost of ignoring network security.
The real cost of ignoring network security.The real cost of ignoring network security.
The real cost of ignoring network security.SecludIT
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecuriteSecludIT
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Floggers
FloggersFloggers
FloggersJulieta Monti
 
Revue de presse Telecom Valley, Eté 2016
Revue de presse Telecom Valley, Eté 2016Revue de presse Telecom Valley, Eté 2016
Revue de presse Telecom Valley, Eté 2016Laurence Briffa
 
Docker volume
Docker volumeDocker volume
Docker volumeMyoungSu Shin
 
Docker and Go: why did we decide to write Docker in Go?
Docker and Go: why did we decide to write Docker in Go?Docker and Go: why did we decide to write Docker in Go?
Docker and Go: why did we decide to write Docker in Go?Jérôme Petazzoni
 
Shipping Applications to Production in Containers with Docker
Shipping Applications to Production in Containers with DockerShipping Applications to Production in Containers with Docker
Shipping Applications to Production in Containers with DockerJérôme Petazzoni
 
Architecture microservices avec docker
Architecture microservices avec dockerArchitecture microservices avec docker
Architecture microservices avec dockergcatt
 
A Gentle Introduction To Docker And All Things Containers
A Gentle Introduction To Docker And All Things ContainersA Gentle Introduction To Docker And All Things Containers
A Gentle Introduction To Docker And All Things ContainersJérôme Petazzoni
 
Basic docker for developer
Basic docker for developerBasic docker for developer
Basic docker for developerWeerayut Hongsa
 
Docker introduction
Docker introductionDocker introduction
Docker introductiondotCloud
 
Docker Tips And Tricks at the Docker Beijing Meetup
Docker Tips And Tricks at the Docker Beijing MeetupDocker Tips And Tricks at the Docker Beijing Meetup
Docker Tips And Tricks at the Docker Beijing MeetupJérôme Petazzoni
 
Infrastructure Deployment with Docker & Ansible
Infrastructure Deployment with Docker & AnsibleInfrastructure Deployment with Docker & Ansible
Infrastructure Deployment with Docker & AnsibleRobert Reiz
 
Docker from A to Z, including Swarm and OCCS
Docker from A to Z, including Swarm and OCCSDocker from A to Z, including Swarm and OCCS
Docker from A to Z, including Swarm and OCCSFrank Munz
 
Docker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and securityDocker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and securityJérôme Petazzoni
 
Comment construire une stratégie digitale?
Comment construire une stratégie digitale?Comment construire une stratégie digitale?
Comment construire une stratégie digitale?Butter-Cake blog by Youmna Ovazza
 
Docker - YaJUG
Docker - YaJUGDocker - YaJUG
Docker - YaJUGNicolas Muller
 
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et DerueGab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et DerueAZUG FR
 

Más contenido relacionado

Destacado

Microservices docker-security
Microservices docker-securityMicroservices docker-security
Microservices docker-securitySergio Loureiro
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
The real cost of ignoring network security.
The real cost of ignoring network security.The real cost of ignoring network security.
The real cost of ignoring network security.SecludIT
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecuriteSecludIT
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Revue de presse Telecom Valley, Eté 2016
Revue de presse Telecom Valley, Eté 2016Revue de presse Telecom Valley, Eté 2016
Revue de presse Telecom Valley, Eté 2016Laurence Briffa
 
Docker and Go: why did we decide to write Docker in Go?
Docker and Go: why did we decide to write Docker in Go?Docker and Go: why did we decide to write Docker in Go?
Docker and Go: why did we decide to write Docker in Go?Jérôme Petazzoni
 
Shipping Applications to Production in Containers with Docker
Shipping Applications to Production in Containers with DockerShipping Applications to Production in Containers with Docker
Shipping Applications to Production in Containers with DockerJérôme Petazzoni
 
Architecture microservices avec docker
Architecture microservices avec dockerArchitecture microservices avec docker
Architecture microservices avec dockergcatt
 
A Gentle Introduction To Docker And All Things Containers
A Gentle Introduction To Docker And All Things ContainersA Gentle Introduction To Docker And All Things Containers
A Gentle Introduction To Docker And All Things ContainersJérôme Petazzoni
 
Basic docker for developer
Basic docker for developerBasic docker for developer
Basic docker for developerWeerayut Hongsa
 
Docker introduction
Docker introductionDocker introduction
Docker introductiondotCloud
 
Docker Tips And Tricks at the Docker Beijing Meetup
Docker Tips And Tricks at the Docker Beijing MeetupDocker Tips And Tricks at the Docker Beijing Meetup
Docker Tips And Tricks at the Docker Beijing MeetupJérôme Petazzoni
 
Infrastructure Deployment with Docker & Ansible
Infrastructure Deployment with Docker & AnsibleInfrastructure Deployment with Docker & Ansible
Infrastructure Deployment with Docker & AnsibleRobert Reiz
 
Docker from A to Z, including Swarm and OCCS
Docker from A to Z, including Swarm and OCCSDocker from A to Z, including Swarm and OCCS
Docker from A to Z, including Swarm and OCCSFrank Munz
 
Docker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and securityDocker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and securityJérôme Petazzoni
 

Destacado (20)

Microservices docker-security
Microservices docker-securityMicroservices docker-security
Microservices docker-security
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud it
 
The real cost of ignoring network security.
The real cost of ignoring network security.The real cost of ignoring network security.
The real cost of ignoring network security.
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Floggers
FloggersFloggers
Floggers
 
Revue de presse Telecom Valley, Eté 2016
Revue de presse Telecom Valley, Eté 2016Revue de presse Telecom Valley, Eté 2016
Revue de presse Telecom Valley, Eté 2016
 
Docker volume
Docker volumeDocker volume
Docker volume
 
Docker and Go: why did we decide to write Docker in Go?
Docker and Go: why did we decide to write Docker in Go?Docker and Go: why did we decide to write Docker in Go?
Docker and Go: why did we decide to write Docker in Go?
 
Shipping Applications to Production in Containers with Docker
Shipping Applications to Production in Containers with DockerShipping Applications to Production in Containers with Docker
Shipping Applications to Production in Containers with Docker
 
Architecture microservices avec docker
Architecture microservices avec dockerArchitecture microservices avec docker
Architecture microservices avec docker
 
A Gentle Introduction To Docker And All Things Containers
A Gentle Introduction To Docker And All Things ContainersA Gentle Introduction To Docker And All Things Containers
A Gentle Introduction To Docker And All Things Containers
 
Basic docker for developer
Basic docker for developerBasic docker for developer
Basic docker for developer
 
Docker introduction
Docker introductionDocker introduction
Docker introduction
 
Docker Tips And Tricks at the Docker Beijing Meetup
Docker Tips And Tricks at the Docker Beijing MeetupDocker Tips And Tricks at the Docker Beijing Meetup
Docker Tips And Tricks at the Docker Beijing Meetup
 
Infrastructure Deployment with Docker & Ansible
Infrastructure Deployment with Docker & AnsibleInfrastructure Deployment with Docker & Ansible
Infrastructure Deployment with Docker & Ansible
 
Docker from A to Z, including Swarm and OCCS
Docker from A to Z, including Swarm and OCCSDocker from A to Z, including Swarm and OCCS
Docker from A to Z, including Swarm and OCCS
 
Docker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and securityDocker, Linux Containers (LXC), and security
Docker, Linux Containers (LXC), and security
 
Comment construire une stratégie digitale?
Comment construire une stratégie digitale?Comment construire une stratégie digitale?
Comment construire une stratégie digitale?
 

Similar a Securite docker generique 2017-03-16

Gab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et DerueGab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et DerueAZUG FR
 
Docker Tours Meetup #1 - Introduction à Docker
Docker Tours Meetup #1 - Introduction à DockerDocker Tours Meetup #1 - Introduction à Docker
Docker Tours Meetup #1 - Introduction à DockerThibaut Marmin
 
Gab2015 Jean-Marie Crommen Docker sur Azure
Gab2015 Jean-Marie Crommen Docker sur AzureGab2015 Jean-Marie Crommen Docker sur Azure
Gab2015 Jean-Marie Crommen Docker sur AzureVincent Thavonekham-Pro
 
Alphorm.com Formation Sophos Certified Engineer : EndPoint Protection
Alphorm.com Formation Sophos Certified Engineer : EndPoint ProtectionAlphorm.com Formation Sophos Certified Engineer : EndPoint Protection
Alphorm.com Formation Sophos Certified Engineer : EndPoint ProtectionAlphorm
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Open Source Experience
 
chap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddhchap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddhHamza546870
 
Patterns du continuous delivery avec azure dev ops et kubernetes
Patterns du continuous delivery avec azure dev ops et kubernetesPatterns du continuous delivery avec azure dev ops et kubernetes
Patterns du continuous delivery avec azure dev ops et kubernetesCEDRIC DERUE
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm
 
709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx
709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx
709469716-Docker-Intro.pptx709469716-Docker-Intro.pptxAbdellahELMAMOUN
 
DevCon 3 : Containérisation d’applications
DevCon 3 : Containérisation d’applicationsDevCon 3 : Containérisation d’applications
DevCon 3 : Containérisation d’applicationsCellenza
 
Alphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm
 
Configurer GitHub Actions avec Docker et DotNET 8.pdf
Configurer GitHub Actions avec Docker et DotNET 8.pdfConfigurer GitHub Actions avec Docker et DotNET 8.pdf
Configurer GitHub Actions avec Docker et DotNET 8.pdfHamida Rebai Trabelsi
 
Midi technique - présentation docker
Midi technique - présentation dockerMidi technique - présentation docker
Midi technique - présentation dockerOlivier Eeckhoutte
 
Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerThe Incredible Automation Day
 
Docker, mais qu’est-ce que c’est ?
Docker, mais qu’est-ce que c’est ?Docker, mais qu’est-ce que c’est ?
Docker, mais qu’est-ce que c’est ?Julien Maitrehenry
 

Similar a Securite docker generique 2017-03-16 (20)

Docker - YaJUG
Docker - YaJUGDocker - YaJUG
Docker - YaJUG
 
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et DerueGab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
Gab17 lyon-Docker pour quoi faire - Cédric Leblond et Derue
 
Docker Tours Meetup #1 - Introduction à Docker
Docker Tours Meetup #1 - Introduction à DockerDocker Tours Meetup #1 - Introduction à Docker
Docker Tours Meetup #1 - Introduction à Docker
 
What is Docker
What is Docker What is Docker
What is Docker
 
Gab2015 Jean-Marie Crommen Docker sur Azure
Gab2015 Jean-Marie Crommen Docker sur AzureGab2015 Jean-Marie Crommen Docker sur Azure
Gab2015 Jean-Marie Crommen Docker sur Azure
 
Alphorm.com Formation Sophos Certified Engineer : EndPoint Protection
Alphorm.com Formation Sophos Certified Engineer : EndPoint ProtectionAlphorm.com Formation Sophos Certified Engineer : EndPoint Protection
Alphorm.com Formation Sophos Certified Engineer : EndPoint Protection
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...
 
chap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddhchap1-windows server.pptxhhhgggjjjhhdddddh
chap1-windows server.pptxhhhgggjjjhhdddddh
 
Patterns du continuous delivery avec azure dev ops et kubernetes
Patterns du continuous delivery avec azure dev ops et kubernetesPatterns du continuous delivery avec azure dev ops et kubernetes
Patterns du continuous delivery avec azure dev ops et kubernetes
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
 
709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx
709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx
709469716-Docker-Intro.pptx709469716-Docker-Intro.pptx
 
DevCon 3 : Containérisation d’applications
DevCon 3 : Containérisation d’applicationsDevCon 3 : Containérisation d’applications
DevCon 3 : Containérisation d’applications
 
Alphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et Administration
 
Configurer GitHub Actions avec Docker et DotNET 8.pdf
Configurer GitHub Actions avec Docker et DotNET 8.pdfConfigurer GitHub Actions avec Docker et DotNET 8.pdf
Configurer GitHub Actions avec Docker et DotNET 8.pdf
 
Midi technique - présentation docker
Midi technique - présentation dockerMidi technique - présentation docker
Midi technique - présentation docker
 
Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp Docker
 
docker.pptx
docker.pptxdocker.pptx
docker.pptx
 
Docker, mais qu’est-ce que c’est ?
Docker, mais qu’est-ce que c’est ?Docker, mais qu’est-ce que c’est ?
Docker, mais qu’est-ce que c’est ?
 

Securite docker generique 2017-03-16

  • 1. Sécurité Docker Frédéric DONNAT – Directeur Technique et Co-Fondateur fred@secludit.com Téléphone 06 59 98 30 77
  • 2. Agenda 1. Socle Docker  Infrastructure, Serveur Hôte (OS)  Docker Secure Deployment Guideline  CIS Benchmark : Docker bench Security 2. Image Docker  Registry : Docker Hub  Sécurité propres image docker  Scan : Docker Scanning Services, TwistLock trust, Clair 3. Ecosystème Docker : Non abordé ici  Kubernetes, Mesos, Swarm, etc…
  • 3. Socle Docker 1. Contraintes  Infrastructure, Server host (OS)  Docker est un « root » daemon  Docker « daemon » socket 2. Sécurité  Bonnes pratiques : Docker Secure Deployment Guidelines  Sécurité du noyau : AppArmor, GRSEC, …  Isolation réseau  Authentification et Autorisation  Canal sécurisé  Traçabilité : Logs, Audit  CIS Benchmark : Docker bench Security
  • 4. Docker CIS Benchmark • 6 Chapitres  Configuration du serveur hôte  Configuration du « daemon » docker  Fichiers de configuration du daemon » docker  Image de « container » et fichier de « build »  Exécution de « container »  Opérations de sécurité pour Docker • 104 Règles  1.1 Partition dédiée pour les « containers »  2.1 Restriction du traffique entre « containers »  6.1 Faire des audits régulières du système hôte et des « containers »
  • 5. Exemple : Docker CIS Benchmark Description Test Solution
  • 6. Image Docker 1. Contraintes  Docker Hub / Docker Image  Partage d’Image  Attaque sur le server Hôte via le container :  DoS  Elévation de privilèges  Partage de ressources et données 2. Sécurité  Principe de « moindre privilège »  Accès, Autorisation, Ressources  Nettoyage : Logs, Clés, Historique, …  Audit des images : Docker Scan
  • 7. Sécurité Docker : Liens utiles • Guides : • https://docs.docker.com/engine/security/security/ • https://docs.docker.com/docker-cloud/builds/image-scan/ • https://github.com/GDSSecurity/Docker-Secure-Deployment-Guidelines • https://benchmarks.cisecurity.org/tools2/docker/CIS_Docker_1.13.0_Benchmark_v1.0.0.pdf • Outils : • https://github.com/dev-sec/cis-docker-benchmark • https://github.com/coreos/clair/ • https://github.com/cr0hn/dockerscan • https://cloud.docker.com/