Docker mejora la seguridad de los contenedores
Docker anuncia, durante la conferencia DockerCon Europe, una oferta de seguridad integral compuesta de hardware, control de accesos y detección de vulnerabilidades.
Docker, el mayor referente del mercado de contenedores, ha anunciado importantes mejoras de seguridad, incluida una partnership con Yubiko, durante la conferencia DockerCon Europe que esta semana se celebra en Barcelona.
Docker es una plataforma open source que permite crear, portar y ejecutar aplicaciones distribuidas. La clave son los contenedores, que basados en Linux funcionan tanto en máquinas físicas como virtuales. Su gran capacidad en lo que a portabilidad, escalabilidad y disponibilidad ha atraído a una amplia comunidad de desarrolladores y administradores de sistemas atraídos por la facilidad de crear microservicios en aplicaciones distribuidas, cada vez más utilizados (Netflix o Spotify) porque permiten un desarrollo ágil y rápido.
La seguridad, sin embargo, no es un punto fuerte cuando se trata de desarrollar. Docker lo sabe y por eso el pasado mes de agosto lanzaba Docker Content Trust junto con Docker 1.8.0. Haciendo uso del proyecto open source Notary, Docker Content Trust, tiene como objetivo permitir una actualización segura autenticando y firmando las imágenes de las aplicaciones.
Ahora Docker quier dar un paso más y sumar nuevas opciones de seguridad que garaticen que “el editor del contenido se verifica, la cadena de confianza está protegida y el contenido de los contenedores está verificada a través del escaneo de las imágenes”.
La primera de las novedades está relacionada con Docker Content Trust y un acuerdo con Yukico por el que ambas compañías despliegan un sistema de firmas de código utilizando YubiKeys, lo que permite a los desarrolladores, administradores e ISVs de Docker la creación de software seguro; “Con YubiKey 4, los usuarios de Docker pueden firmar digitalmente código durante el desarrollo inicial y a través de las actualizaciones posteriores para asegurar la integridad de las aplicaciones Dockerizadas”, explica la compañía en un comunicado.
Detección de vulnerabilidades
Otra novedad anunciada tiene que ver con la detección de vulnerabilidad y escaneo de imágenes. Se trata, asegura la compañía, de la primera capacidad de auditoría de imágenes granular optimizada para contenedores. Este nuevo servicio de seguridad presenta los resultados a los ISVs y comparte el resultado final a los usuarios de Docker para que puedan tomar decisiones sobre qué contenido utilizar en base a sus políticas de seguridad.
Aplicando esta propuesta los ISV pueden solucionar una vulnerabilidad cuando sea detectada, y como estará integrado con Docker Content Trust, los usuarios podrán ver la validez del editor.
Mejoras en el control de accesos
El último punto tiene que ver los espacios de nombres, o namespaces. Docker ha decidido mejorar la visibilidad y control de la seguridad ofreciendo soporte para los namespaces.
Los contenedores de aplicaciones se ejecutan dentro del Docker Engine, donde no hay una visibilidad completa para los namespaces; las mejoras aplicaciones permiten no solo una mayor visibilidad para garantizar la seguridad sino un mayor control de los procesos y aplicaciones individuales que se ejecutan en Docker.
Y es que los responsables de operaciones de TI podrán establecer controles de acceso más granulares y permisos explícitos para diferentes servicios dockerizados por departamentos o por equipos, permitiendo a los grupos trabajar dentro de los límites de los privilegios que se han establecido. “Esta separación también impide que una organización tenga el control sobre los servicios de aplicación de otra organización”, asegura la compañía.