Docker zwiększa bezpieczeństwo dzięki technologii Yubico i projektowi Nautilus

0
2685
Docker
Docker

Od wczoraj trwa konferencja DockerCon EU 2015, podczas której można się dowiedzieć zarówno o nowościach, jak i obecnych technologiach, dostępnych w Dockerze. Jest to świetne miejsce dla administratorów, deweloperów, DevOpsów i wielu innych osób. Podczas dwugodzinnego otwarcia konferencji, założyciel Solomon Hykes opowiedział o bezpieczeństwie i przedstawił dwa nowe sposoby, na jego zwiększenie. Pierwszym z nich są klucze szyfrujące Yubico, podłączane do portu USB, których zadaniem jest cyfrowe podpisywanie oprogramowania. Całość została zintegrowana z wydaną trzy miesiące temu aktualizacją do frameworka The Update Framework o nazwie Docker Content Trust.

Docker Content Trust opiera się na podobnej zasadzie, co uwierzytelniania w protokole SSH. Na koncie dewelopera obrazów tworzone są dwa klucze: Offline i Tagging, podczas pierwszego wysyłania obrazów na serwery.

Każde repozytorium posiada swój unikalny klucz Tagging. Może on zostać wyeksportowany i współdzielony z użytkownikami/systemem, którzy potrzebują zdolności uwierzytelniania dla danego repozytorium.

Klucz Offline jest najważniejszy i jest tzw. potwierdzeniem autentyczności danego repozytorium. Różne repozytoria mogą posiada ten sam klucz Offline i jest on wymagany jedynie podczas tworzenia nowego repozytorium lub wymiany obecnych kluczy. Klucz należy trzymać w bezpiecznym miejscu. Podczas wykonywania komendy docker pull, ustanawiane jest bezpieczne połączenie z danym repozytorium, przy wykorzystaniu klucza Offline.

Jak widzimy bezpieczeństwo jest nader wysokie i aby je jeszcze zwiększyć, stworzono sprzętowy klucz szyfrujący Yubico. Każdy uczestnik konferencji DockerCon EU 2015 otrzyma taki w prezencie.

Drugim projektem, który został zapoczątkowany w firmie Docker to narzędzie Nautilus. Jego zadaniem jest automatyczna analiza bezpieczeństwa wszystkich obrazów, przechowywanych w repozytorium Docker Hub. Przez ostatnie dwa miesiące wykorzystywano Nautilusa do skanowania i zabezpieczania 74 milionów pobrań obrazów, w ścisłej tajemnicy przed użytkownikami. Były to swojego rodzaju testy, które miały sprawdzić skuteczność nowego narzędzia. Od teraz jest ono dostępne publicznie, a w przyszłości każdy będzie mógł samodzielnie uruchomić je do przetestowania obrazów.

ŹRÓDŁOeweek.com
Poprzedni artykułCoreOS prezentuje Clair, narzędzie do testowania zabezpieczeń kontenerów
Następny artykułDodatek The White March Part II do Pillars of Eternity zapowiedziany na styczeń 2016 roku
Michał Olber
Interesuję się głównie sprzętem i działaniem jego pod systemami GNU/Linux. Testuję różne dystrybucje i robię recenzje. Interesuję się działaniem sprzętu pod Linuksem, dzięki czemu wiem, jaki zestaw komputerowy wybierać :)

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj