Konténer-alapú fenyegetések
A Kaspersky szerint a konténerizált környezetek biztonsági kockázatai gyakran alábecsültek, mivel a konténerek ugyan izolált futtatási környezetet biztosítanak, de a hosztrendszer kernelét megosztják, ami sebezhetőségeket eredményezhet. A szervezetek gyakran az üzemeltetési állapotot figyelik, nem pedig a biztonsági fenyegetéseket, és sok esetben hiányzik a megfelelő naplózási konfiguráció, vagy a használt technológiai stack nem támogatja a konténerek hatékony megfigyelését.
A konténerek működésének megértése kulcsfontosságú a biztonsági incidensek vizsgálatához. A konténerek nem különálló operációs rendszerek, hanem a hosztrendszer kernelét használják, és olyan Linux-funkciókra támaszkodnak, mint a névterek (namespaces), vezérlőcsoportok (cgroups) és unió fájlrendszerek. A konténerek létrehozása során a magas szintű konténerfuttatók, mint a containerd vagy a CRI-O, alacsony szintű futtatókat, például a runc-ot használják a konténerek kezelésére. A konténerek futtatása során a runc két módban működhet: előtérben (foreground) és háttérben (detached). Előtérben a runc folyamatosan fut, míg háttérben a runc kilép, és a konténer folyamatait egy shim folyamat kezeli, amely lehetővé teszi a konténer független működését a magas szintű futtatótól.
A BusyBox és Alpine alapú konténerek különösen érdekesek a fenyegetésvadászat szempontjából. A BusyBox egy kis méretű végrehajtható fájl, amely számos UNIX-eszközt egyesít. Ezekben a konténerekben a /bin/sh gyakran a BusyBox-ra mutat, így a shell parancsok végrehajtása a BusyBox folyamatán keresztül történik. Ez a viselkedés lehetővé teszi a biztonsági elemzők számára, hogy azonosítsák a konténerben futó folyamatokat a hosztrendszer naplóiból.
A Kaspersky ismerteti hogyan lehet a hosztrendszer naplóiból visszakövetni a konténerben végrehajtott parancsokat. Például, ha egy konténerben telepítik a Docker CLI-t, az gyanús lehet, mivel a konténerek általában minimális függőségekkel rendelkeznek. A folyamatlánc elemzésével megállapítható, hogy a parancsot egy konténeren belül hajtották-e végre, és azonosítható a konténer azonosítója a shim folyamat parancssori argumentumaiból.
