Docker Content Trust redobla la seguridad de contenedores

Soy Digital

La nueva característica busca brindar un marco de seguridad estándar para las imágenes de Docker, compartiendo código abierto.

InfoWorld 

A medida que madura, Docker lucha con las cuestiones de seguridad que vienen con los contenedores. Últimamente, Docker se concentró en cómo certificar los contenidos de un contenedor determinado.

Su más reciente esfuerzo en esta área, Docker Content Trust, les da a los usuarios de apps contenerizadas un modo para asegurarse de que quienes publican el contenedor y el contenido sean quienes dicen ser. Content Trust también hace de esta verificación un mecanismo estándar, al menos en lo que concierne a la infraestructura de entrega de contenido de Docker (como Docker Hub).

Docker Content Trust funciona asegurándose de que los contenedores estén firmados por sus creadores antes de que estén disponibles públicamente y que esas firmas sean verificables por parte de los usuarios. En el proceso, se usan dos claves: una clave por repositorio, para firmar imágenes Docker (disponible online) y una clave principal para crear nuevas claves por repositorio (mantenida offline).

Con este mecanismo, es más difícil falsificar firmas, ya que un atacante necesitaría acceder a ambas claves para lograr su hazaña. Si se roban una clave de repositorio, su creador podría generar una nueva con la clave principal.

Este sistema de claves se realiza utilizando un proyecto existente de Docker: Notary. La estrecha integración con Docker Engine implica que se pueden restringir las acciones comunes para contenedores para que usen solo el contenido firmado. (Docker 1.8, la versión más reciente, incluye estas funcionalidades, aunque están deshabilitadas por defecto).

También puede leer: Los momentos claves del caso troll-LPG

Durante una conversación telefónica, Diego Monica, jefe de seguridad de Docker, explicó que la lógica detrás de esto es elevar el estándar para la entrega confiable de contenido y tener una capa básica de seguridad para el contenido de confianza, de código abierto y auditada por la comunidad, que le permita a cualquiera construir a partir de la plataforma de Docker.

Los primeros pasos con Content Trust involucran liderar con el ejemplo. Está posicionado como el estándar para la entrega de contenido de confianza a través de los repositorios oficiales de Docker, pero como un mecanismo opcional al principio. Si está usando un repositorio privado, también puede usar Docker Content Trust para firmar contenido, pero sin dependencia de la fuentes externas de confianza.

En el pasado, la compañía introdujo su enfoque “baterías incluidas, pero opcionales” en el diseño de productos. Si bien las prácticas recomendadas estás disponibles en Docker por defecto, no es el único camino.

Pero con la seguridad, especialmente un proceso de seguridad en lugar de un comportamiento conectable, Docker puede no tener otra opción que ser obstinado. Dicho esto, la compañía sostiene haber recibido de la comunidad comentarios muy positivos con respecto a Content Trust.

Este artículo está clasificado como: , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR