Les conteneurs sont partout, laptop, serveurs, cloud hosting, embarqué, edge computing, ils prennent littéralement le monde d'assaut ! Cette tempête s'accompagne d'un certain nombre de préoccupations cruciales, et l'une est la gestion de la sécurité. Dans cette présentation, nous découvrir ensemble quelques bonnes pratiques en matière de sécurité, et une mise en œuvre avancée. Nous découvrirons l'analyse comportementale ou comment détecter les activités indésirables / malveillantes, l'intégration d'un scanner de sécurité directement dans votre pipeline de CI/CD et le verrouillage des images Docker via un admission controller dans Kubernetes. Que vous soyez un développeur, un responsable opérationnel ou technique, ce talk vous donnera des clés que vous pourrez appliquer directement dans vos projets de mise en place / migration d'infrastructure cloud.

1. @sevensphereio
1
Tales of container security

2. Rachid Zarouali
Architecte Cloud & Fondateur sevensphere
Docker Captain
Docker Certified
Twitter: @xinity
Slack ( cncf / dockercommunity ) : @xinity
rachid@sevensphere.io

3. @sevensphereio
3
Papa ? c’est qui ces gens ?

4. @sevensphereio
4

5. @sevensphereio
5
C’est quoi un conteneur ?

6. @sevensphereio
6
PAPA ? C’est quoi un conteneur ?

7. @sevensphereio
7
ça veut dire quoi secure?

8. @sevensphereio
“Docker est secure par défaut, il suffit de mettre nos appli dans
Docker et on aura plus de problème de sécurité …”
8
PAPA ? ça veut dire quoi secure ?

9. @sevensphereio
9
PAPA ? ça veut dire quoi secure ?

10. @sevensphereio
“ La sécurité des conteneurs est pourrie, rien ne vaut une
machine virtuelle !”
10
PAPA ? ça veut dire quoi secure ?

11. @sevensphereio
https://contained.af
“A stupid game for learning about containers, capabilities, and
syscalls. “
11
PAPA ? ça veut dire quoi secure ?

12. @sevensphereio
12
PAPA ? ça veut dire quoi secure ?

13. @sevensphereio
13
Je comprends rien !

14. @sevensphereio
14
Corbier migre une app Java dans Docker

15. @sevensphereio
15
Les malheurs de Corbier

16. @sevensphereio
16
Le nouvel amour de Corbier

17. @sevensphereio
17
Le cauchemar de Corbier

18. @sevensphereio
18
il faut faire quoi ?

19. @sevensphereio
Formation de Corbier à Docker
Retrait du superflu (services tiers et app inutile)
Utilisation de l’image distroless Java (googlecontainertools)
19
Corbier le phoenix : réaction !

20. @sevensphereio
Image docker la plus réduite possible:
google distroless
Images officielles Docker
tooling “automatique” exemple: Jib
20
Tips I (back to basics):

21. @sevensphereio
21
On la met où l’image ??

22. @sevensphereio
22
Jacky publie des images Docker

23. @sevensphereio
23
Ce que Jacky ignore…
Internet DMZ LAN

24. @sevensphereio
24
La tristesse du RSSI

25. @sevensphereio
25
Tu as fabriqué un coffre ?

26. @sevensphereio
26
La revanche de Jacky (et il n’est pas seul !!)
Internet DMZ LAN

27. @sevensphereio
+
---------------------------------------------------------------------------
Ou
27
Tips II (fortement recommandés !)

28. @sevensphereio
28
J’ai abimé l’image :(

29. @sevensphereio
29
Martine pousse en production
LAN
INTERNET

30. @sevensphereio
30
Martine : h + 2 min

31. @sevensphereio
MODE=dev
31
Martine : h + 10 min

32. @sevensphereio
Tag d’image unique (latest)
Compte admin/admin par défaut
CARPE (DIEM): CVE-2019-0211 32
Martine constate les dégâts !

33. @sevensphereio
33
Les pulsions de Martine

34. @sevensphereio
34
Martine experte en sécurité !

35. @sevensphereio
/! versionner vos images /!
Déployer un scanner de vulnérabilités à de multiples niveaux :
CI/CD
registre
environnement de prod
Scanner opensource disponibles:
clair , trivy , dagda…
Test techniques et fonctionnels:
goss, testinfra, serverspec...
35
Tips III (toujours recommandés)

36. @sevensphereio
36
c’est qui kubernéness ??

37. @sevensphereio
“In cloud we trust”
37
Chantal découvre le cloud de confiance

38. @sevensphereio
38
Le cloud pas très en confiance
managed

39. @sevensphereio
39
Le cloud en souffrance
managed

40. @sevensphereio
/! Formez vos équipes ! /!
Vérifiez la conformité de votre infrastructure cloud managed:
40
Tips IV (Les derniers ou presque :) )

41. @sevensphereio
41
J’ai tout oublié :(

42. @sevensphereio
Michel : “ Image épurée, application mieux encadrée ”
“ si vous ne voulez pas être visité, pensez à bien fermer la porte d’entrée”
Martin “ La confiance n’exclut pas le contrôle, à tous les niveaux ”
chantal “ Le cloud managé oui, bien se former avant, pour mieux le sécuriser “
42
La voix de nos sages aventuriers

43. @sevensphereio
“ formez vos équipes ! n’apprenez pas en marchant, la chute
n’en sera que plus brutale et la relève douloureuse ”
==
“ La sécurité est l’affaire de tous !
tous concernés ! tous responsables ! ” 43
La voix de nos sages aventuriers: tous ensemble !

44. @sevensphereio
44
La voix de nos sages aventuriers: avertissement !

45. @sevensphereio
45
Un dernier challenge avec Martine and co ?

46. @sevensphereio
46
C’est quoi DevOps ?

47. @sevensphereio
“ We are only human, we are supposed to make
mistakes ”
(Billy Joel)
47
Recentrons-nous sur l’humain

48. @sevensphereio
48
mon inspiration pour ce talk

49. @sevensphereio
49

50. @sevensphereio
Images officiels Docker: https://hub.docker.com/search?type=image&image_filter=official
Google distroless: https://github.com/GoogleContainerTools/distroless
Google Jib: https://github.com/GoogleContainerTools/jib
Harbor: https://github.com/goharbor/harbor
Portus: https://github.com/SUSE/Portus
50
Appendix

51. @sevensphereio
Clair: https://github.com/coreos/clair
Trivy: https://github.com/aquasecurity/trivy
Goss: https://github.com/aelsabbahy/goss
kubehunter: https://github.com/aquasecurity/kube-hunter
kubebench: https://github.com/aquasecurity/kube-bench
51
Appendix II

52. @sevensphereio
sysdig falco : https://github.com/falcosecurity/falco
dagda: https://github.com/eliasgranderubio/dagda
droneio: https://github.com/drone
CARPE DIEM exploit: https://github.com/cfreal/exploits/tree/master/CVE-2019-0211-apache
52
Appendix III