I container prevedono delle sfide di sicurezza uniche che le VM e il bare metal non presentano e i data center devono essere in grado di affrontarle. Anche se i container potrebbero presentare alcuni rischi di sicurezza con cui i responsabili di data center non hanno ancora familiarità, è possibile per queste figure imparare a gestire ambienti come questi in modo che siano sicuri.
Diffusione dei container e vulnerabilità del repository
Molti data center presentano problemi di sicurezza legati allo diffusione dei container, esattamente come era accaduto per con le VM quando questa tecnologia era appena entrata nel mercato. Gli sviluppatori possono anche distribuire i container molto più velocemente delle VM e questo potrebbe portarli a tralasciare alcuni controlli di sicurezza anche se opportuni.
“Il più grande problema con la sicurezza dei container è che quando gli sviluppatori li creano, nel processo vengono commessi degli errori”, ha detto Neil MacDonald, vice presidente e analista di Gartner. Il più comune è l’inclusione di componenti software con una vulnerabilità nota, come il software che proviene da GitHub o un repository di container. I repository possono agire come fonte di vulnerabilità incorporate quando gli sviluppatori costruiscono app su di essi, per mantenere gli ambienti sicuri, gli amministratori devono proteggere l’immagine del container, individuare le minacce ad esse inerenti o passare a immagini più sicure.
“È necessario limitare strumenti, librerie e agenti che si hanno all’interno della propria libreria”, ha detto Sandy Carielli, un analista di Forrester Research. Gli sviluppatori devono adottare un approccio più minimalista quando si tratta di container assicurandosi che il loro software fornisca solo ciò di cui hanno bisogno e niente di più. Molti sviluppatori amano aggiungere extra “nice to have” alle loro applicazioni una volta che soddisfano tutti i requisiti funzionali di base ma eliminando tutto ciò che non è richiesto si ottiene un’applicazione molto più sicura.
“Se avete un’applicazione sovraccarica di ciò di cui si pensa si possa avere bisogno o desiderare, è più probabile che presenti delle vulnerabilità – ha detto Carielli – questo è il motivo per cui i provider di tool per la software analysis si stanno espandendo nei mondo dei container”.
Container in diversi ambienti
Le organizzazioni devono gestire molti diversi tipi di container e ambienti di esecuzione e ciò può portare ad ulteriori vulnerabilità.
“Bisogna essere in grado di monitorare tutti i container per tutti i problemi e le configurazioni” ha detto Carielli. I data center possono prendere in considerazione diversi strumenti che monitorano le app containerizzate in diversi ambienti di runtime per problemi di configurazione e modifiche. Tuttavia, se un data center esegue la scansione solo per le vulnerabilità note, potrebbe trascurare altri potenziali problemi nascosti nel codice, ad esempio riguardanti chiavi API o password.
Anche le licenze possono nascondere dei problemi anche se non si tratta esattamente di sicurezza: il codice sorgente violato che ha origine con un prodotto commerciale o anche una libreria di estrazione bitcoin potrebbe nascondersi nel codice del contenitore.
Come aumentare la sicurezza dei container
Il modo più semplice per mantenere i container sicuri è quello di scansionarli all’inizio del ciclo di sviluppo e cercare tutto ciò che viola le policy. I prodotti di venditori come Trend Micro, McAfee e Palo Alto Networks offrono l’analisi della composizione del software che può scansionare tali vulnerabilità. I data center possono anche utilizzare plugin per il browser che segnalano i componenti vulnerabili prima che uno sviluppatore li scarichi.
“Alcuni fornitori offrono anche quello che è essenzialmente un tool di scansione, qualcosa come un firewall, che può bloccare questi download – ha detto MacDonald – Nel corso del tempo, gli stessi repository di codice probabilmente inizieranno a fare un lavoro migliore, senza richiedere l’aiuto di terzi”.
Tuttavia, la scansione dei container comporta dei costi associati e convincere gli sviluppatori potrebbe costituire un’ulteriore sfida. “Gli sviluppatori non lo stanno chiedendo, è chi si occupa di privacy e security che si sta rendendo conto di rischiare se le cose non vengono scansionate prima del loro rilascio”, ha detto MacDonald. Ma se la scansione è fatta correttamente, è una vittoria per tutti. “Si evita che il codice pericoloso vada in produzione, cosa che rallenterebbe anche gli sviluppatori”.
