dotSecurity est une conférence sur la sécurité adressée aux développeurs (et non aux experts sécurité) qui se tiendra le 22 avril à Paris, au Théâtre des Variétés. Côté speakers, les directeurs de la sécurité chez Heroku & Docker, ainsi que le fondateur d’OpenBSD, prendront place sur scène. Profitez de l'offre réservée aux lecteurs InfoQ FR : 20% de réduction sur le ticket ici
Dans le cadre de la conférence, InfoQ FR a rencontré Diogo Monica, Security Lead à Docker, afin d'en savoir plus sur Docker et la sécurité.
InfoQ FR : Bonjour Diogo, pouvez-vous nous parler de votre carrière avant de rejoindre Docker ?
Diogo : Ma carrière dans la sécurité a commencé quand j'avais 14 ans et que j'ai compris comment m'emparer des canaux IRC de mes camarades de lycée. Cet intérêt pour la sécurité informatique m'a conduit à l'obtention d'un diplôme en Communications Réseau à l'Université de Technologie de Lisbonne, qui à son tour m'a amené à poursuivre une maîtrise et, finalement, un doctorat en sciences informatiques. Ce fut au cours de la deuxième année de ma thèse qu'une petite société appelée Square m'a invité à me joindre à leur équipe Sécurité. Lorsque j'ai été embauché, Square était composé d'une cinquantaine de personnes, et l'équipe de sécurité d'une seule personne. C'est au sein de Square que j'ai été en mesure de transformer mon expérience scolaire en compétences du monde réel, en aidant à concevoir, construire et sécuriser l'infrastructure de l'entreprise à partir de rien. Chez Sqaure, j'ai rencontré Nathan McCauley, la personne qui a le plus contribué à ma croissance personnelle et professionnelle, et, finalement, la personne avec qui je me suis associé pour démarrer l'équipe Sécurité de Docker.
InfoQ FR : Vous avez rejoint Docker comme Security Lead il y a un an. Quel est votre domaine d'intérêt, et sur quoi travaillez-vous au jour le jour ?
Diogo : L'équipe de sécurité à Docker est responsable de tout. De la sécurité de nos projets open-source et des produits commerciaux à la sécurité physique des bureaux de Docker. Au cours de la dernière année, j'ai travaillé sur un grand nombre de différents projets, de la conception et la mise en œuvre des fonctions de sécurité sur Docker lui-même, à fournir des outils et des ressources pour que les entreprises puissent évaluer et améliorer leur mise en place de la sécurité lors de l'utilisation de conteneurs Docker. L'un des projets pour lequel je suis le plus excité est Docker Content Trust et Notary. Avec Docker Content Trust, nous avons essentiellement transformé Docker en la plate-forme de distribution de contenu la plus sécurisée du marché. En utilisant un cadre très sophistiqué appelé TUF (Update Framework), nous avons donné aux équipes de développement et aux équipes opérationnelles la possibilité d'avoir de la signature d'image de bout en bout et des garanties d'intégrité qui étaient auparavant disponibles uniquement aux entreprises avec beaucoup de ressources et des équipes Sécurité dédiées.
InfoQ FR : Comment la sécurité des conteneurs est-elle différente de la sécurité "standard" ?
Diogo : Je voudrais commencer par dire que la beauté des conteneurs est le fait qu'ils fournissent des sécurités additionnelles "out of the box". Le déploiement de vos applications à l'intérieur de conteneurs Docker ne fera qu'augmenter la sécurité de votre organisation, puisque vous héritez des capacités de sandboxing et d'intégrit, qui viennent par défaut avec Docker, sans l'ajout d'une surface d'exposition importante.
L'une des principales différences entre la sécurité dans un environnement conteneurisé et la sécurisation des applications sans conteneurs est qu'avec les applications conteneurisées, vous avez la possibilité d'appliquer et de contrôler le comportement, application par application, et non plus au niveau de l'hôte. Jusqu'à présent, la détection d'intrusion et les systèmes de prévention devaient analyser et bloquer les comportements malveillants avec des sources de données très gros grains, comme l'ensemble de votre trafic réseau de production ou par machine physique/VM. Avec des conteneurs, vous avez maintenant la possibilité de faire la même analyse, mais par application, conduisant à moins de faux positifs et de meilleures capacités de détection.
InfoQ FR : À quoi un utilisateur Docker doit-il faire attention lorsqu'il essaye de sécuriser son installation Docker ?
Diogo : La sécurité de Docker a progressé de manière incroyablement rapide durant l'année dernière, et continuera de le faire dans un avenir prévisible. Au cours de la dernière année, nous avons mis en œuvre un modèle de sécurité intégrée qui aborde les trois grands domaines : noyau sécurisé, contenu sécurisé et accès sécurisé. Notre noyau sécurisé est le moteur Docker et les caractéristiques d'isolation d'exécution qui en font le meilleur de sa catégorie parmi les runtimes de conteneurs. L'accès sécurisé signifie que tous les composants, les systèmes et les utilisateurs qui interagissent avec le système sont authentifiés et soumis à des politiques de contrôle d'accès de l'organisation.
Nous avons également fourni des fonctionnalités et des améliorations dans chacun de ces domaines, dont le point culminant est notre dernière version 1.10. Je recommande de suivre notre blog, où nous affichons des résumés de toutes les nouvelles fonctionnalités de sécurité qui viennent avec chaque version de docker. Les documents de sécurité Docker sont également une bonne source d'information, décrivant avec détail les mécanismes sous-jacents sur lesquels Docker repose pour assurer isolation et intégrité. Enfin, je voudrais aussi vous recommander de vérifier le benchmark CIS Docker et l'outil de test automatisé qui vient avec : Dockerbench.com.
InfoQ FR : Les images Docker et le registry Docker sont l'une des parties les plus discutées de Docker, en termes de sécurité. Pouvez-vous nous parler des derniers ajouts aux images et au registry, et ce qui est prévu pour les futures versions ?
Diogo : L'un de nos principaux domaines d'intérêt du côté du Docker Hub a été autour de la qualité des images et l'analyse de vulnérabilité. À DockerCon EU l'an dernier, nous avons annoncé Nautilus, un outil automatisé qui fournit une analyse de sécurité pour les images qui sont hébergées sur le Docker Hub. Ceci est un grand pas pour la sécurité de l'écosystème Docker. Si vous avez récupéré toutes les images officielles du Docker Hub au cours des six derniers mois, vous avez déjà bénéficié de ces scans. Nous ajoutons inlassablement de plus en plus de contrôles à Nautilus, et nous prévoyons une disponibilité générale le mois prochain.
En dehors de cela, nous avons également intégré des améliorations autour de l'authentification du démon Docker au registry, et nous allons bientôt utiliser Docker Content Trust par défaut pour toutes les images officielles.
InfoQ FR : Avec Docker Swarm et d'autres solutions d'orchestration de conteneurs de plus en plus populaires, quels sont les défis de sécurité de faire tourner des conteneurs Docker dans un monde distribué ?
Diogo : Il s'agit plus d'une question de ce que Docker fait dans le cadre des efforts en cours pour sécuriser davantage les applications distribuées. À ce jour, nous avons fourni la sécurité autour du noyau, le contenu et l'accès, et continuons à travailler sur la sécurisation de la communication entre tous les nœuds du cluster, et à avoir des mécanismes d'authentification et d'autorisation solides qui ne sont pas encombrants à installer et à maintenir. Comme nous continuons à renforcer la sécurité dans tous les aspects de nos produits, nous continuerons à rester concentrés sur le fait qu'une sécurité par défaut et utilisable doit être l'un des piliers de Docker.
InfoQ FR : Merci Diogo pour cet entretien.