تكنولوجيا

كيف يمكن لبرنامج الناشر المعتمد من Docker مساعدتك في تحسين الأمان – CloudSavvy IT

يجعل عامل Docker حاويات الغزل نسيمًا. ولكن كيف تعرف ما إذا كانت الحاوية المسحوبة من Docker Hub تحتوي على باب خلفي أو برامج ضارة؟ برنامج الناشر المعتمد في Docker يحل هذه المشكلة.

الشعبية تجعلك هدفا

يحب مجرمو الإنترنت فقط الطرق البسيطة للوصول إلى آلة الضحية ، وغني عن القول ، كلما كان ذلك أفضل. إذا أصبح منتج أو منصة شائعة جدًا ، يمكنك المراهنة على أنها ستجذب انتباه الجهات الفاعلة في التهديد الذين سيحاولون استخدام هذا النجاح لصالحهم.

Docker هي الشركة الرائدة عالميًا في النقل بالحاويات. بالنسبة للعديد من الأشخاص ، فإن أول ما يتبادر إلى الذهن عند ذكر الحاوية هو ذلك. تسمح الحاويات للمطورين بحزم التطبيقات وتبعياتها في حزم قائمة بذاتها تسمى الصور. هذا يجعل من السهل توزيع الحزمة لأن كل ما يلزم لتشغيل التطبيق مضمن في الصورة. بغض النظر عن الآلة التي تعمل عليها الحاوية ، فلن تكون هناك تبعيات لم تتم تلبيتها أبدًا.

يمكن اعتبار الحاويات على أنها آلات افتراضية بسيطة. إذا قدموا التطبيق ، فلن تكون هناك حاجة لنظام تشغيل في الحاوية. يحتاجون فقط إلى تبعيات التطبيق. يؤدي ذلك إلى تقليل حجم الصورة وتحسين الأداء أثناء تشغيل الحاوية. يتم تشغيل محتوى الحاوية على نظام التشغيل الخاص بالمضيف ويتم عزله عن العمليات الأخرى.

نظرًا لوجود عدد أقل من الأشياء في الحاويات التي تتطلب موارد وقدرة حاسوبية مقارنة بالأجهزة الافتراضية ، يمكن تشغيلها على أجهزة أكثر شيوعًا. هذا يعني أنه مقارنة بالأجهزة الافتراضية التقليدية ، يمكنك تشغيل المزيد من الأجهزة الافتراضية على جهاز واحد بأداء جيد. حتى الحاويات المصممة لتوفير توزيعات Linux المختلفة هي مجرد لقطات لنظام ملفات التوزيع. يجرون باستخدام نواة المضيف.

معظم التقنيات والتطبيقات الموجودة في الحاوية مفتوحة المصدر. هذا يعني أنه يمكن لأي شخص توزيعها واستخدامها بحرية. تسمح لك حاويات Docker باعتماد شعار يجب معاملة الخوادم على أنها أبقار وليس حيوانات أليفة. لا تدفع فوائد الحاويات التبني الواسع للتكامل المستمر والنشر المستمر (CI / CD) فحسب ، بل إنها تجعل ذلك ممكنًا أيضًا.

استحوذت Mirantis على Docker في نوفمبر 2019. في ذلك الوقت ، كانت 30٪ من شركات Fortune 100 و 20٪ من شركات Fortune 500 تستخدم Docker Company. اليوم ، وصل عدد مرات سحب الصور (تنزيلات الحاويات) لخدمة Docker Hub إلى 13 مليار مرة. من ما يقرب من 8 ملايين مستودعات في الشهر.

هذه الأرقام مثيرة للإعجاب لدرجة أن مجرمي الإنترنت لا يستطيعون تجاهلها. ما هو أسهل من إنشاء صور ضارة مصابة وتحميلها على Docker Hub وانتظار المستخدمين المطمئنين لتنزيلها واستخدامها؟

ذات صلة: ما هو Docker ومتى يجب استخدامه؟

مشكلة الصور غير الآمنة

هناك مشكلة متأصلة في استخراج الصور من المستودع واستخدامها. أنت لا تعرف ما إذا تم إنشاؤها مع مراعاة الأمان ، أو ما إذا كانت مكونات البرنامج الموجودة في الحاوية في الإصدار الحالي وما زالت في دورة الحياة المدعومة. هل قاموا بتطبيق جميع إصلاحات الأخطاء وتصحيحات الأمان المتاحة؟ أو ما هو أسوأ من ذلك ، هل تحتوي على تعليمات برمجية خبيثة تم زرعها عمدًا من قبل جهات التهديد؟

يواجه Docker مشاكل مماثلة مع Apple و Google. يجب أن تحاول Apple و Google مراقبة التطبيقات الضارة في Application Retailer و Google Engage in. يتخذ Docker نهجًا مختلفًا قليلاً. سيحذف Docker صور الحاويات التي تم اكتشاف أنها ضارة. كما يوفر مخططات تحقق لناشري الحاوية.

في الماضي ، قام Docker بحذف مجموعة من الصور التي تم تحميلها بواسطة Docker account docker123321. احتوت حوالي 17 حاوية في هذا الحساب الفردي على تعليمات برمجية ضارة. يتم توفير هذه الصور كحاويات غير ضارة تدعم تطبيقات مثل Apache Tomcat و MySQL ، ولكن بالإضافة إلى ذلك ، تحتوي الحاوية على رمز لتزويد المهاجمين بقذيفة SSH عكسية ، مما يسمح لهم بالوصول إلى الحاوية عند الاقتضاء.

تم اكتشاف غلاف Python العكسي وقذيفة Bash العكسية ، حتى أن إحدى الحاويات احتوت على مفاتيح SSH لممثلي التهديد. هذا يسمح لهم بالوصول عن بعد دون كلمة مرور. اكتشف الحاويات الأخرى التي تستضيف برامج تعدين العملات المشفرة. هذا يعني أنه تم اختطاف الحاوية عن طريق التشفير مقدمًا. سوف يدفع المستخدمون غير المرتابين فواتير الكهرباء ويفقدون قوة المعالجة لتمويل تعدين مونيرو من قبل مجرمي الإنترنت.

هذه الهجمات هي مزيج من أحصنة طروادة وهجمات سلسلة التوريد.

ذات صلة: كيف تحارب تواقيع برامج مؤسسة Linux هجمات سلسلة التوريد

برنامج الناشر المعتمد

قدم Docker سلسلة من صور الحاويات ، تسمى الصور الرسمية. هذه الصور عبارة عن مجموعة من الحاويات المختارة التي تمت مراجعتها من قبل فريق Docker المخصص.

يعمل الفريق مع المشرفين على المنبع ومقدمي البرامج في الحاوية. الصورة الرسمية هي مثال لأفضل ممارسات حاوية Docker ، بما في ذلك التوثيق الواضح وتطبيق تصحيحات الأمان. تم توفير صورة Docker الرسمية مؤخرًا لجمهور أوسع من خلال المزيد من المستودعات.

يوفر برنامج الناشر المعتمد الوصول إلى محتوى Docker الذي يتم تمييزه عن طريق القدوم من موفري خدمات معروفين وموثوقين وموثوقين. وقع أكثر من 200 من بائعي البرامج على الخطة ووافقوا عليها ، ويتزايد العدد بسرعة. يمكن استخدام الصور من الناشرين المعتمدين بثقة في التطبيقات والبنية التحتية ذات المهام الحرجة.

الناشر المعتمد وبرنامج الصور الرسمي هما برنامجان مكملان. العديد من صور الحاويات التي يوفرها الناشرون المعتمدون ستكون أيضًا صورًا رسمية. يسمح لك زوج من مربعات الاختيار في صفحة Docker Hub Take a look at بتحديد أن نتائج البحث مقيدة لتضمين الصور الرسمية أو الصور المقدمة من الناشرين المعتمدين أو كليهما.

مربعات اختيار للناشرين المعتمدين والصور الرسمية على Docker Hub

نرحب بالمبادرات

تُظهر هجمات SolarWinds و CodeCov فعالية هجمات سلسلة التوريد. إن مهاجمة نقطة مركزية ثم إلحاق الضرر بمستهلكين المنتجات والخدمات هي طريقة فعالة للتوزيع. الحاوية المخترقة هي الطريقة المثلى لتوزيع هذا النوع من الهجوم. وهي تعتقد أن بعض المعلومات ومصادر البرامج آمنة وجديرة بالثقة بطبيعتها. بشكل عام ، هذا هو الحال. لكن كما رأينا ، هذا افتراض كبير.

من الضروري أن تعرف المنظمة أصل وسلامة الحاويات التي تستخرجها من المستودع. يمكن اعتبار الصور الرسمية والناشرين المعتمدين شكلاً من أشكال المصادقة ، مما يتيح لك فهم المحتوى المتاح بشكل أسهل.

إذا كنت قد أنشأت صورة Docker متاحة للجمهور وتعتقد أنه من المفيد لك أن تصبح ناشرًا معتمدًا ، فيمكنك بدء عملية التقديم للانضمام إلى البرنامج على صفحة الويب للناشر المعتمد.

ذات صلة: تم اختراق برنامج الترميز!إذا كنت تستخدم Codecov ، فماذا تفعل الآن

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى