Αυτοματη Ενισχυση Ασφαλειας Σε Περιβαλλον Docker Μεσω Συστηματος Υποχρεωτικου Ελεγχου (mac)

Abstract

Η εικονοποίηση σε επίπεδο λειτουργικού συστήματος (operating-system-level virtualization), γνωστή και ως containers, είναι μία συνεχώς ανερχόμενη τεχνολογία, η οποία δίνει τη δυνατότητα εκτέλεσης πολλών εφαρμογών ταυτόχρονα, η κάθε μία από τις οποίες βρίσκεται σε απομονωμένο περιβάλλον, ενώ παράλληλα, η επιπλέον κατανάλωση υπολογιστικών πόρων κρατιέται στο ελάχιστο μέσω της χρήσης του πυρήνα του host λειτουργικού συστήματος. Αυτή τη στιγμή, η πιο διαδομένη πλατφόρμα για την κατασκευή, την εκτέλεση και τον έλεγχο των containers είναι το Docker, λόγω των ευκολιών που προσφέρει στην κατασκευή και στο διαμοιρασμό των containers. Ωστόσο παρά τις ευκολίες και τα οφέλη που παρέχουν αυτές οι λύσεις, παρατηρείται αργή υιοθέτηση αυτής της τεχνολογίας, η οποία οφείλεται σε μεγάλο βαθμό σε ανησυχίες που υπάρχουν σχετικά με την ασφάλεια [1]. Στην εργασία αυτή μελετάμε τους κινδύνους που εμφανίζονται σε περιβάλλοντα εικονοποίησης και πώς αυτοί μπορούν να αντιμετωπιστούν. Εξετάζουμε τα εργαλεία που προσφέρουν τα Linux και πώς μπορούμε μέσα από αυτά να δημιουργήσουμε ένα ασφαλές απομονωμένο περιβάλλον εκτέλεσης διεργασιών. Με γνώμονα τις δυνατότητες που μας δίνει ο πυρήνας των Linux και τις απειλές που αντιμετωπίζει ένας Docker container δημιουργήσαμε ένα εργαλείο που παράγει αυτόματα Apparmor προφίλ, προστατεύοντας αποτελεσματικά και δυναμικά το host σύστημα. Τέλος, αξιολογούμε την επιβάρυνση στις επιδόσεις που επιφέρει αυτό το σύστημα ασφάλειας στους containers.