OWASP Docker Top 10 ¿lo traducimos?

El Proyecto OWASP Docker Top 10 brinda diez puntos importantes que permiten para planificar e implementar un entorno de contenedor de Docker seguro. Como siempre, estos 10 puntos están ordenados por relevancia de mayor a menor pero no representan riesgos ya que cada punto en el OWASP Top 10, representan controles de seguridad. Los controles van desde la seguridad básica hasta controles más avanzados, según sus requisitos de seguridad.

Aunque el nombre de este proyecto lleva la palabra "Docker", también se puede utilizar, con un poco abstracción, para otras soluciones de contenedores. Como Docker es el más popular, los detalles se centran por ahora en Docker.

Si se ejecuta más de 3 contenedores (+-), probablemente sea mejor implementar una solución de orquestación para administrarlos. Los problemas de seguridad específicos de los mismos están más allá del alcance del documento. Eso no significa que esta guía solo observe uno o varios contenedores administrados manualmente, al contrario: significa solo que se analizan los contenedores, incluidas sus redes y sus hosts pero no sobre Kubernetes, Swarm, Mesos u OpenShift.

Como usarlo:

• como orientación en la fase de diseño;
• como especificación de sistemas y aplicaciones;
• para auditar un entorno de Docker,
• para realizar adquisiciones porque proporciona una base para especificar requisitos en los contratos.

OWASP Docker Top 10

0. D00 - Overview
1. D01 - Secure User Mapping
2. D02 - Patch Management Strategy
3. D03 - Network Segmentation and Firewalling
4. D04 - Secure Defaults and Hardening
5. D05 - Maintain Security Contexts
6. D06 - Protect Secrets
7. D07 - Resource Protection
8. D08 - Container Image Integrity and Origin
9. D09 - Follow Immutable Paradigm
10. D10 - Logging

Además, se encuentra el popular Docker Security Cheat Sheet, una guía de trucos fundamental para contenedores.

A menudo hay malentendidos sobre cuáles se supone que son los impactos en la seguridad, negativos o positivos, cuando se usa Docker. Como cualquier otra tecnología de contenedores, no resuelve los problemas de seguridad de las aplicaciones. No ayuda a realizar la validación de entrada y no proporciona protección contra la inyección de SQL. Para los riesgos de seguridad de las aplicaciones, OWASP proporciona muchos otros documentos útiles, desde OWASP Top 10 sobre los Controles Proactivos de OWASP hasta el estándar de verificación de seguridad de aplicaciones de OWASP, solo por nombrar algunos.

Container Security se trata principalmente de seguridad del sistema y de la red y un diseño arquitectónico seguro. Esto indica qué es mejor antes de comenzar a usar contenedores, se debe planificar el entorno de manera segura. Además, algunos puntos son difíciles o costosos de cambiar más adelante cuando ya comenzó a implementar contenedores en producción.

Mirándolo desde la perspectiva del mundo clásico, especialmente en áreas de sistemas y redes, utilizar contenedores significa grandes cambios en el entorno y esos cambios abren nuevas superficies de ataque potenciales. Se debe tener especial cuidado para que no surjan problemas de seguridad en la red y el sistema.

Aparte de estas áreas técnicas, hay dos puntos no técnicos:

• Docker, con sus 8 años recién cumplidos (desde marzo de 2013), es una tecnología relativamente nueva. Restando el tiempo de maduración y adopción, el lapso de tiempo es aún más corto. Cada nueva tecnología necesita tiempo hasta que el conocimiento de la tecnología y sus mejores prácticas se conviertan en conocimiento común.
• Si bien las soluciones de contenedor pueden ofrecer beneficios para el desarrollador, la tecnología no es simple desde la perspectiva de la seguridad. No ser simple es lo que dificulta la seguridad, también conocido como el principio KISS: mantenlo simple, estúpido.

Esto es en lo que este documento intenta ayudarlo: proporciona el conocimiento para evitar errores comunes en el sistema y el área de la red e intenta manejar la complejidad.

El documento se encuentra en inglés pero desde Segu-Info queremos ayudar a traducirlo al español. Si deseas colaborar, simplemente envíanos un correo a info(arroba)segu-info.com.ar o vía Twitter @seguinfo o vía Telegram @seguinfo.

Suscríbete a nuestro Boletín