Server Virtualisation - Docker Security Analysis

Bachelor-Studiengang IT Security

Sven Woynoski, BSc
18.09.2015

Ausgangslage

Die Forderungen nach Virtualisierungs-Technologien sind in den letzten Jahren deutlich lauter geworden. Virtualisierung hat sich zu einem der wichtigsten Themen im Unternehmensbereich gewandelt und wird heute flächendeckend eingesetzt. Über die Zeit haben sich verschiedene Virtualisierungs-Ansätze entwickelt: Containerbasierte Virtualisierung bietet effizientere virtuelle Umgebungen und benötigt weniger Ressourcen als hypervisor-basierte Virtualisierung, hat jedoch mit Sicherheitsbedenken zu kämpfen.

Ziel

Docker ist einer der erfolgreichsten und bekanntesten Vertreter containerbasierter Virtualisierung. Diese Arbeit soll einen vollständigen Überblick über Docker und dessen Komponenten liefern. Aufbauend darauf wird eine Sicherheitsanalyse durchgeführt. Die Sicherheitsanalyse ist in zwei Teile gegliedert: Im ersten Teil wird die interne Sicherheit von Docker analysiert. Der zweite Teil behandelt die Interaktion von Docker mit dem Linux Kernel und zusätzlichen Sicherheitsmechanismen wie SELinux und AppArmor. Ziel ist es, eine Aussage darüber treffen zu können, ob Docker in seiner Standardkonfiguration als sicher angesehen werden kann oder nicht.

Ergebnis

In der Sicherheitsanalyse wurden keine groben Fehler in Docker selbst oder dem Sicherheitskonzept gefunden. Dennoch gibt es einige kleine Probleme. Das Erste betrifft die virtuelle Ethernet Bridge, die anfällig auf MAC Flooding-Angriffe ist. Das zweite Problem ist ein grundsätzliches Problem mit dem Docker-Daemon und dessen root-äquivalenten Rechten. Durch die fehlende granulare Rechteverwaltung für Docker-BenutzerInnen ist es möglich, als Docker-AdministratorIn den gesamten Server zu übernehmen.

Ausblick

Auch wenn keine gröberen Probleme festgestellt werden konnten, kann keineswegs garantiert werden, dass Docker frei von Fehlern ist. Um eine fundierte Aussage treffen zu können, sollte eine umfangreiche Code-Analyse durchgeführt werden. Weiters wäre ein Angriff auf den zentralen Speicherort für Docker-Abbilder interessant. Am Docker Hub sollte überprüft werden, ob das Hochladen von manipulierten Abbildern möglich ist.

FH-Betreuer: Dipl. Ing. Dipl. Ing. Christoph Lang-Muhr, BSc