I suggerimenti per mettere al sicuro i container

Lori MacVittie, Principal Technical Evangelist di F5 Networks suggerisce le  regole base per mettere al sicuro applicazioni e dati dei  container

 

A livello di mercato i container stanno incontrando una crescente accettazione e aziende di tutte le dimensioni e settori  sviluppano progetti su come “containerizzare” le proprie applicazioni.

Quello dei container è peraltro un settore tecnologico che vede la predominanza di Kubernetes per quanto concerne l’orchestrazione degli stessi anche se Docker, per quanto concerne la gestione del ciclo di vita dell’immagine dei container, non è Da meno quanto a posizione e accettazione da parte del mercato.

A conferma dello status di rilievo di Docker nel panorama informatico, secondo quanto  segnalato dal State of Open Source Security Report 2019,. Docker Hub è avviato ad essere per le aziende quello che l’App Store e Google Play rappresentano oggigiorno per il mondo consumer.

A livello applicativo, le immagini del container sono eseguite nell’intera infrastruttura, dai sistemi operativi di base agli stack applicativi, ai database al middleware fino agli app engine che supportano node.js (un runtime JavaScript costruito sul motore JavaScript V8 di Chrome), i linguaggi di programmazione Python e Go e includono anche l’integrazione con l’ecosistema per i servizi applicativi.

Se però la maggior parte delle organizzazioni che passano in produzione app mediante container utilizzano Kubernetes come sistema di orchestrazione di immagini Docker, osserva Lori MacVittie, Principal Technical Evangelist di F5 Networks, In molti casi si tratta di immagini vulnerabili.

La ricerca di Snyk ha evidenziato in proposito che “ognuna delle prime dieci immagini Docker predefinite più popolari contiene almeno 30 librerie di sistema vulnerabili”.

Il fattore critico è che queste librerie di sistema sono presenti su molte immagini Docker, dato che queste si basano su un’immagine principale che utilizza comunemente come base una distribuzione Linux. Quello che ne deriva è che il numero di vulnerabilità è in crescita.

In sintesi, osserva la manager, si ha a che fare con un numero elevato di immagini vulnerabili che vengono scaricate in ogni momento dalle organizzazioni. Dati di analisti riportano in proposito come il 60% degli utilizzatori abbia  di recente subito un incidente di sicurezza che ha riguardato i container,  e questo anche se implementare un’immagine aggiornata avrebbe consentito di mitigare il rischio.

In sostanza, se la velocità nell’implementare un container è importante, lo è a patto che non si trascuri la sicurezza, si lato aziendale che per i clienti che utilizzeranno le app che saranno distribuite.

Tra gli aspetti e gli approcci che è possibile considerare e che possono contribuire a migliorare a postura in termini di sicurezza vi sono:

  • Identificare un terreno comune tra applicazioni e le operation per standardizzare il minor numero possibile di immagini/componenti del container consente di distribuire l’onere della sicurezza in tutta l’organizzazione e si traduce in un livello di sicurezza globale più elevato.
  • Verificare periodicamente la sicurezza del codice, soprattutto nel caso molto comune in cui vengano incluse componenti o script di terze parti..
  • Audit sulla sicurezza del container quando si utilizzano immagini di terze parti volti a certificare la loro sicurezza, per poi effettuarne la delivery.

E infine, osserva MacVittie,  si deve rimanere aggiornati sulle nuove vulnerabilità. Se si fa affidamento su un’immagine o codice sorgente, è necessario iscriversi ai canali dedicati alla sicurezza dei container che comunicano le potenziali vulnerabilità. Dopo tutto, mette in guardia ,il sapere rappresenta sempre l’arma più potente per vincere ogni battaglia.