Tutti pazzi per i container. Ma fino a che punto sono sicuri?

Le cinque regole base da tenere presente per servirsi con sicurezza della nuova tecnologia

Autore: Lori MacVittie *

I container vivono un periodo di crescente successo e oggi aziende di tutte le dimensioni sviluppano piani su come containerizzare le proprie applicazioni. Com'è noto, Kubernetes ha vinto la sfida di mercato dei container, nell’ambito della loro orchestrazione. In realtà la gestione del ciclo di vita dell’immagine dei container è stata vinta da Docker, come confermano i dati sulla loro diffusione, con oltre 1 miliardo di container Docker scaricati ogni due settimane in base alla ricerca “The state of open source security Report 2019” di Snyk, e con Docker Hub che è diventato per le aziende quello che l'App Store e Google Play rappresentano per i consumatori.

Le immagini del container oggi sono eseguite nell’intera infrastruttura, dai sistemi operativi di base agli stack applicativi, ai database al middleware fino agli app engine che supportano node.js, Python e Go e comprendono anche l’integrazione con l’ecosistema per i servizi applicativi. La maggior parte delle aziende che fanno deployment di app mediante container utilizzano Kubernetes come sistema di orchestrazione di immagini Docker. In molti casi però si tratta di immagini vulnerabili.

La ricerca di Snyk ha rivelato che "ognuna delle prime dieci immagini Docker predefinite più utilizzate contiene almeno 30 librerie di sistema vulnerabili”. Queste librerie di sistema sono presenti su molte immagini Docker, dato che si basano su un'immagine principale che utilizza comunemente come base una distribuzione Linux”. I dati di Snyk lo confermano: il numero di vulnerabilità è in costante aumento in tutte e tre le principali distribuzioni Linux.In sintesi, ci troviamo di fronte a un’enormità di immagini vulnerabili che vengono scaricate in ogni momento dalle organizzazioni.

Non sorprende, quindi, che lo "State of container security 2019" di Tripwire abbia riscontrato una percentuale allarmante: il 60% degli intervistati, negli ultimi dodici mesi ha subito un incidente di sicurezza che ha riguardato i container. Circa un intervistato su cinque (il 17%) ha dichiarato che l'organizzazione in realtà era a conoscenza delle vulnerabilità, ma che ha comunque deciso di implementare le immagini. Tutto questo nonostante sia noto che il 44% delle immagini Docker contiene vulnerabilità conosciute e che fossero disponibili immagini di base più recenti e sicure. In altre parole, implementare un'immagine aggiornata avrebbe consentito di mitigare il rischio e un altro 22% delle immagini con vulnerabilità si poteva affrontare e risolvere semplicemente ricostruendo l'immagine.
Lori MacVittie, Principal Technical Evangelist di F5 NetworksLa situazione sembra per certi versi assurda: gran parte dell’attenzione quando si parla di “shift security left” è rivolta tanto all'implementazione di servizi adeguati per applicare la sicurezza (difesa dai Bot, web application firewall, controllo dell'identità e degli accessi) quanto all’integrazione di security practice nel ciclo di sviluppo e implementazione dei container. Tali pratiche includono la scansione del codice e dei container per identificare vulnerabilità note e quindi risolverle.

Una cosa è certa: si può fare di meglio. La velocità è importante, anche nella containerizzazione, ma la velocità senza la sicurezza è pericolosa, non solo per l'organizzazione, ma anche per i clienti che alla fine utilizzeranno le app che saranno distribuite. Per questo motivo credo che una containerizzazione sicura debba prevedere cinque passaggi fondamentali:
* Lori MacVittie è Principal Technical Evangelist di F5 Networks

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.