Sicherer Containerbetrieb mit Capabilities

Container-Technologien – ursprünglich popularisiert durch Docker – bieten zahlreiche Sicherheitsvorteile out-of-the-box. Eine Tatsache auf die sich viele DevOps-Profis heutzutage verlassen.

Dies hat zwar eindeutig zu einem Sicherheitsgewinn bei vielen Applikationen geführt, es bleibt aber immer noch Verbesserungspotenzial. In der Praxis ist häufig das Fehlen eines tiefen Verständnisses, welche Sicherheitsgarantien Docker eigentlich bietet, zu beobachten – was zu einem gefährlichen, überzogenen Sicherheitsgefühl führt.

Die Angriffsoberfläche containerisierter Applikationen kann durch die manuelle Konfiguration der Capabilities signifikant reduziert werden. Durch geeignetes Finetuning lassen sich die Fähigkeiten von Angreiferinnen und Angreifern eine etwaige Schwachstelle relevant auszunutzen, stark einschränken.

Dieser Vortrag erläutert die Möglichkeiten, Capabilities in der Container Runtime einzuschränken, und demonstriert den dadurch entstehenden Sicherheitsgewinn in einer Live-Demonstration.

Vorkenntnisse

Grundkenntnisse im Umgang mit Docker und Linux

Lernziele

• Teilnehmende erlernen grundlegende Kenntnisse zu Capabilites.
  
• Sie können im Anschluss an den Talk Capabilites in ihren Deployments konfigurieren und nutzen.