Docker敏感信息防泄露实践

安全 云安全
本文我们讨论了容器敏感信息防泄露的一些安全方法,包括基本语法,镜像编译,运行时以及安全扫描等方法。

云时代流行的今天,云和容器成了日常工作的一部分。这样就涉及一个安全问题,在容器使用过程中常常要构建镜像,在构建进行并push到公共存储(私有项目不要存储大公共注册表),其中可能会涉及有些敏感信息和机密数据泄露。比如IP地址,密码,私钥等信息。本文我们就来说说在实践中如何避免敏感信息的泄露。

[[397716]]

概述

容器和Docker让我们的日常更加便捷,但是同时也会很容易将一些信息不小心泄露给公众造成安全问题。密码,云凭证和SSH私钥,如果配置不当,一不小心就会泄露。除非建立一套安全事件策略,综合防护,一些案例:

Codecov供应链攻击:

2021年4月1日,由于Codecov一个Docker文件配置失误,攻击者可以窃取凭据并修改客户使用的Bash Uploader脚本。通过恶意代码修改Bash Uploaders,并将环境变量和从一些客户的CI/CD环境中收集的密钥泄露给了一个受攻击者控制的服务器。

受到该事件影响,HashiCorp用于发布签名和验证的GPG密钥被泄露,目前已经采用轮换机制定期更换私钥。

其他由于Docker Hub公共镜像导致的泄露还包括(不限于):

AWS账户和凭据,SSH私钥,Azure密钥,.npmrc令牌,Docker Hub账户,PyPI存储库密钥,SMTP服务器认证信息,eCAPTCHA密码,Twitter API密钥,Jira密钥,Slack密钥以及其他一些密钥等。

COPY方法

DockerFile语法中常见的一个COPY方法:

  1. FROM debian:buster 
  2. COPY . /app 

默认情况下,该语句会将当前目录中所有内容的复制到镜像中。这些内容中可能会包含敏感信息的文件:例如站点.env。

一旦敏感信息,被放到Docker镜像中,则任何可以访问该镜像的用户都可以看到这些信息。为了防止由于COPY导致的敏感信息泄露:

  • 限制复制内容:只复制必须的特定文件或目录。 例如,
    1. COPY setup.py myapp/app。 
  • .dockerignore:使用.dockerignore确保敏感文件不被复制到镜像中去,一个典型的配置:
    1. NOTICE 
    2. README.md 
    3. LICENSE 
    4. AUTHORS.md 
    5. CONTRIBUTING.md 
    6. .vscode/ 
    7. vendor/ 
    8. env/ 
    9. ENV/ 
    10. build/ 
    11. dist/ 
    12. target/ 
    13. downloads/ 
    14. eggs/ 
    15. .eggs/ 
    16. lib/ 
    17. lib64/ 
    18. parts/ 
    19. sdist/ 
    20. var/ 
    21. Dockerfile 
    22. .git 
    23. .editorconfig 
    24. *.egg-info/ 
    25. .installed.cfg 
    26. *.egg 
    27. *.manifest 
    28. *.spec 
    29. .gcloudignore 
    30. .gitignore 
    31. .tox/ 
    32. .dockerignore 
    33. .coverage 
    34. .coverage.* 
    35. .cache 
    36. htmlcov/ 
    37. nosetests.xml 
    38. coverage.xml 
    39. *,cover 
    40. .hypothesis/ 
    41. ssh/ 
    42. id_rsa 
    43. .git-credentials 
    44. config.* 
  • 避免手动生成镜像:与CICD自动生成系统相比,开发环境更容易涉及敏感文件,因此在开发环境手动生成公共镜像更容易导致泄露。
  • 使用CI环境变量:如果CI或构建环境需要使机密信息,需要将其配置在环境变量中,而不要通过文件访问。

镜像编译

有时需要在构建Docker镜像时使用机密,例如访问私有软件包存储库的密码。

  1. FROM python:3.9 
  2. RUN pip install \ 
  3. --extra-index-url User:pass@priveapk.example \ 
  4. package privatepackage 

直接在URL包含了用户名和密码会直接导致其泄露。可以使用环境变量形式来应用:

  1. export MYSECRET=secretpassword 
  2. export DOCKER_BUILDKIT=1 
  3. docker build --secret --secret id=mysecret,env=MYSECRET . 

运行时

有些密码是需要在容器运行时候需要访问的,比如访问数据库的凭据。同样的运行时机密也不能直接存储在镜像中。

除了镜像内容导致意外泄露,这种存储在镜像中的配置也绑定了环境,不便于镜像灵活运行。在运行容器时可以通过多种方法将机密传递给容器:

  • 使用环境变量。
  • 与绑定机密文件的卷。
  • 编排系统(如K8S)的密码管理机制。
  • 在公有云环境中,可以使用云环境变量和授权。比如AWS 的IAM角色管理。
  • 外部密钥库。

通过以上这些机制,可以避免运行时敏感信息存储在镜像本身中。

安全扫描

除了上面一些管理方面策略外,还有一个主动方法就是自动地进行安全扫描。市面上有很多密码扫描工具,可以扫描目录或者Git仓库,如果包含敏感信息则会直接告警。比如detect-secrets,trufflehog

也有对镜像扫描的工具,比如pentester可以扫描Docker Hub镜像,发现问题。

总结

本文我们讨论了容器敏感信息防泄露的一些安全方法,包括基本语法,镜像编译,运行时以及安全扫描等方法。综合使用这些方法和策略,可以有效地防止容器使用时候的敏感信息泄露,从而提高安全。

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-02-17 11:52:05

​Argo CD漏洞Kubernetes

2023-11-02 08:29:51

2013-04-07 15:40:26

2023-05-30 20:19:20

2014-06-30 13:51:27

2023-12-06 15:36:24

2023-07-12 16:20:06

2012-07-03 13:25:24

2023-05-17 19:39:58

2023-07-17 17:58:45

2021-10-08 11:51:18

Twitchimageboard数据泄露

2021-07-29 15:53:53

信息泄露漏洞网络攻击

2024-01-10 18:49:47

2013-07-04 09:40:14

2012-04-12 15:59:21

微星科技IP-guard信息防泄露

2021-05-11 15:12:52

高敏感数据数据防泄露大数据

2023-04-14 18:04:56

2021-11-09 10:10:50

个人信息安全法律

2010-09-26 15:28:45

2010-09-27 13:16:42

点赞
收藏

51CTO技术栈公众号