Mūsdienu infrastruktūrā konteinerizācija un orķestrācija ir kļuvusi par standartu. Taču bieži rodas jautājums: vai Docker un Kubernetes (K8s) ir kiberdrošības rīki, vai tikai DevOps/Cloud tehnoloģijas?
Īsā atbilde: paši par sevi – nē, bet praktiski – jā.
Detalizēti paskaidrošu zemāk.
Docker – konteinerizācijas slānis Docker ir platforma aplikāciju konteinerizācijai. Tā ļauj iepakot aplikāciju kopā ar visām atkarībām vienā izolētā vidē.
No drošības skatpunkta:
Docker:
- izmanto Linux namespaces un cgroups izolācijai
- nodrošina procesu un failu sistēmas segregāciju
- atbalsta image signing
- ļauj definēt minimālas bāzes (distroless images)
Taču:
- Docker nav drošības produkts
- tas neaizvieto EDR, IDS, WAF vai SIEM
- nepareiza konfigurācija var radīt būtisku risku (privileged containers, root user, atvērts Docker socket)
Drošības risks piemērs
Ja konteiners tiek palaists ar --privileged, tas būtībā zaudē izolāciju un kļūst gandrīz par hosta procesu.
Tādēļ Docker ir:
infrastruktūras komponents ar drošības ietekmi, bet ne kiberdrošības risinājums.
Kubernetes ir konteineru orķestrators. Tas pārvalda:
- podus
- servisus
- tīklu
- autoscaling
- deployment lifecycle
No kiberdrošības perspektīvas:
Kubernetes ietver:
- RBAC (Role Based Access Control)
- Network Policies
- Pod Security Standards
- Secrets pārvaldību
- Admission controllers
Tas jau ir ievērojami tuvāk drošības arhitektūrai.
Tomēr:
- K8s arī nav drošības produkts
- Nepareizi konfigurēts API serveris var būt kritisks ieejas punkts
- Etcd noplūde = pilnīgs klastera kompromiss
Vai tie ir daļa no kiberdrošības?
Atbilde atkarīga no skatpunkta.
1️⃣ Teorētiski
Docker un Kubernetes pieder:
- Cloud Native
- DevOps
- Platform Engineering
Nevis klasiskajai kiberdrošībai.
2️⃣ Praktiski (reālajā uzņēmuma vidē)
Tie ir:
- Attack surface komponents
- Daļa no infrastruktūras drošības
- Kritiska DevSecOps sastāvdaļa
- NIS2 / ISO 27001 audita scope elements
Ja uzņēmums izmanto konteinerus, tad:
- Image scanning
- Runtime protection
- Supply chain security
- Cluster hardening
ir kiberdrošības jautājums.
Kur tie iekrīt drošības arhitektūrā?
Tie ietilpst šādās jomās:
- Infrastructure Security
- Cloud Security
- Application Security
- DevSecOps
- Supply Chain Security
Tātad – tie nav drošības rīki, bet ir drošības objekti.
Bieža kļūda uzņēmumos
Domāt, ka:
“Mēs izmantojam Kubernetes, tātad mums ir droša infrastruktūra.”
Realitāte:
- Default konfigurācija nav production-grade
- Lielākā daļa uzbrukumu notiek caur:
- pārlieku plašām RBAC lomām
- atvērtu dashboard
- neauditētiem image repozitorijiem
- secrets plain-text formā
Secinājums
| Jautājums | Atbilde |
|---|---|
| Vai Docker ir kiberdrošības rīks? | Nē |
| Vai Kubernetes ir kiberdrošības rīks? | Nē |
| Vai tie ir kiberdrošības daļa? | Jā |
| Vai tie ir jāiekļauj drošības auditā? | Obligāti |
