SlideShare une entreprise Scribd logo
@sevensphereio
1
Tales of container security
Rachid Zarouali
Architecte Cloud & Fondateur sevensphere
Docker Captain
Docker Certified
Twitter: @xinity
Slack ( cncf / dockercommunity ) : @xinity
rachid@sevensphere.io
@sevensphereio
3
Papa ? c’est qui ces gens ?
@sevensphereio
4
@sevensphereio
5
C’est quoi un conteneur ?
@sevensphereio
6
PAPA ? C’est quoi un conteneur ?
@sevensphereio
7
ça veut dire quoi secure?
@sevensphereio
“Docker est secure par défaut, il suffit de mettre nos appli dans
Docker et on aura plus de problème de sécurité …”
8
PAPA ? ça veut dire quoi secure ?
@sevensphereio
9
PAPA ? ça veut dire quoi secure ?
@sevensphereio
“ La sécurité des conteneurs est pourrie, rien ne vaut une
machine virtuelle !”
10
PAPA ? ça veut dire quoi secure ?
@sevensphereio
https://contained.af
“A stupid game for learning about containers, capabilities, and
syscalls. “
11
PAPA ? ça veut dire quoi secure ?
@sevensphereio
12
PAPA ? ça veut dire quoi secure ?
@sevensphereio
13
Je comprends rien !
@sevensphereio
14
Corbier migre une app Java dans Docker
@sevensphereio
15
Les malheurs de Corbier
@sevensphereio
16
Le nouvel amour de Corbier
@sevensphereio
17
Le cauchemar de Corbier
@sevensphereio
18
il faut faire quoi ?
@sevensphereio
Formation de Corbier à Docker
Retrait du superflu (services tiers et app inutile)
Utilisation de l’image distroless Java (googlecontainertools)
19
Corbier le phoenix : réaction !
@sevensphereio
Image docker la plus réduite possible:
google distroless
Images officielles Docker
tooling “automatique” exemple: Jib
20
Tips I (back to basics):
@sevensphereio
21
On la met où l’image ??
@sevensphereio
22
Jacky publie des images Docker
@sevensphereio
23
Ce que Jacky ignore…
Internet DMZ LAN
@sevensphereio
24
La tristesse du RSSI
@sevensphereio
25
Tu as fabriqué un coffre ?
@sevensphereio
26
La revanche de Jacky (et il n’est pas seul !!)
Internet DMZ LAN
@sevensphereio
+
---------------------------------------------------------------------------
Ou
27
Tips II (fortement recommandés !)
@sevensphereio
28
J’ai abimé l’image :(
@sevensphereio
29
Martine pousse en production
LAN
INTERNET
@sevensphereio
30
Martine : h + 2 min
@sevensphereio
MODE=dev
31
Martine : h + 10 min
@sevensphereio
Tag d’image unique (latest)
Compte admin/admin par défaut
CARPE (DIEM): CVE-2019-0211 32
Martine constate les dégâts !
@sevensphereio
33
Les pulsions de Martine
@sevensphereio
34
Martine experte en sécurité !
@sevensphereio
/! versionner vos images /!
Déployer un scanner de vulnérabilités à de multiples niveaux :
CI/CD
registre
environnement de prod
Scanner opensource disponibles:
clair , trivy , dagda…
Test techniques et fonctionnels:
goss, testinfra, serverspec...
35
Tips III (toujours recommandés)
@sevensphereio
36
c’est qui kubernéness ??
@sevensphereio
“In cloud we trust”
37
Chantal découvre le cloud de confiance
@sevensphereio
38
Le cloud pas très en confiance
managed
@sevensphereio
39
Le cloud en souffrance
managed
@sevensphereio
/! Formez vos équipes ! /!
Vérifiez la conformité de votre infrastructure cloud managed:
40
Tips IV (Les derniers ou presque :) )
@sevensphereio
41
J’ai tout oublié :(
@sevensphereio
Michel : “ Image épurée, application mieux encadrée ”
“ si vous ne voulez pas être visité, pensez à bien fermer la porte d’entrée”
Martin “ La confiance n’exclut pas le contrôle, à tous les niveaux ”
chantal “ Le cloud managé oui, bien se former avant, pour mieux le sécuriser “
42
La voix de nos sages aventuriers
@sevensphereio
“ formez vos équipes ! n’apprenez pas en marchant, la chute
n’en sera que plus brutale et la relève douloureuse ”
==
“ La sécurité est l’affaire de tous !
tous concernés ! tous responsables ! ” 43
La voix de nos sages aventuriers: tous ensemble !
@sevensphereio
44
La voix de nos sages aventuriers: avertissement !
@sevensphereio
45
Un dernier challenge avec Martine and co ?
@sevensphereio
46
C’est quoi DevOps ?
@sevensphereio
“ We are only human, we are supposed to make
mistakes ”
(Billy Joel)
47
Recentrons-nous sur l’humain
@sevensphereio
48
mon inspiration pour ce talk
@sevensphereio
49
@sevensphereio
Images officiels Docker: https://hub.docker.com/search?type=image&image_filter=official
Google distroless: https://github.com/GoogleContainerTools/distroless
Google Jib: https://github.com/GoogleContainerTools/jib
Harbor: https://github.com/goharbor/harbor
Portus: https://github.com/SUSE/Portus
50
Appendix
@sevensphereio
Clair: https://github.com/coreos/clair
Trivy: https://github.com/aquasecurity/trivy
Goss: https://github.com/aelsabbahy/goss
kubehunter: https://github.com/aquasecurity/kube-hunter
kubebench: https://github.com/aquasecurity/kube-bench
51
Appendix II
@sevensphereio
sysdig falco : https://github.com/falcosecurity/falco
dagda: https://github.com/eliasgranderubio/dagda
droneio: https://github.com/drone
CARPE DIEM exploit: https://github.com/cfreal/exploits/tree/master/CVE-2019-0211-apache
52
Appendix III

Contenu connexe

Similaire à Devops rex tales of container security

Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Jean-Baptiste Guerraz
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
Docker avec Rancher, du dev à la prod - Makazi au devopsdday 2016
Docker avec Rancher, du dev à la prod - Makazi au devopsdday 2016Docker avec Rancher, du dev à la prod - Makazi au devopsdday 2016
Docker avec Rancher, du dev à la prod - Makazi au devopsdday 2016
Alexis Ducastel
 
DOCKER AVEC RANCHER
DOCKER AVEC RANCHERDOCKER AVEC RANCHER
DOCKER AVEC RANCHER
TREEPTIK
 
Container Day 2016 - De la construction au déploiement d’applications avec de...
Container Day 2016 - De la construction au déploiement d’applications avec de...Container Day 2016 - De la construction au déploiement d’applications avec de...
Container Day 2016 - De la construction au déploiement d’applications avec de...
Kodo Kojo
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
XebiCon'16 : Orange - Transformation DevOps, les conteneurs sont vos alliés !
XebiCon'16 : Orange - Transformation DevOps, les conteneurs sont vos alliés !XebiCon'16 : Orange - Transformation DevOps, les conteneurs sont vos alliés !
XebiCon'16 : Orange - Transformation DevOps, les conteneurs sont vos alliés !
Publicis Sapient Engineering
 
Reverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le ProfitReverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le ProfitSoufiane Tahiri
 
Objets Connectés Changent-ils nos comportements...
Objets Connectés Changent-ils nos comportements...Objets Connectés Changent-ils nos comportements...
Objets Connectés Changent-ils nos comportements...
Henri Kaufman
 
La Duck Conf 2018 : "Une infrastructure peut en cacher une autre !"
La Duck Conf 2018 : "Une infrastructure peut en cacher une autre !"La Duck Conf 2018 : "Une infrastructure peut en cacher une autre !"
La Duck Conf 2018 : "Une infrastructure peut en cacher une autre !"
OCTO Technology
 
Docker en production et la sécurité … _
Docker en production   et la sécurité …  _Docker en production   et la sécurité …  _
Docker en production et la sécurité … _
Jean-Marc Meessen
 
Sensibilisation cyber hackinglab
Sensibilisation cyber hackinglabSensibilisation cyber hackinglab
Sensibilisation cyber hackinglab
Pascal Fischer
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devops
Cisco Canada
 
Api win32 ancestrales pour chevaux de troie hyper furtifs
Api win32 ancestrales pour chevaux de troie hyper furtifsApi win32 ancestrales pour chevaux de troie hyper furtifs
Api win32 ancestrales pour chevaux de troie hyper furtifsUltraUploader
 
LA DUCK CONF 2023 - Sous le capot du cloud souverain
LA DUCK CONF 2023 - Sous le capot du cloud souverainLA DUCK CONF 2023 - Sous le capot du cloud souverain
LA DUCK CONF 2023 - Sous le capot du cloud souverain
OCTO Technology
 
Ia et cybersecurite - conférence 3IL
Ia et cybersecurite - conférence 3ILIa et cybersecurite - conférence 3IL
Ia et cybersecurite - conférence 3IL
OPcyberland
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
NinaSAMMUT
 
Le Cloud computing c'est quoi ?
Le Cloud computing c'est quoi ?Le Cloud computing c'est quoi ?

Similaire à Devops rex tales of container security (20)

Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Docker avec Rancher, du dev à la prod - Makazi au devopsdday 2016
Docker avec Rancher, du dev à la prod - Makazi au devopsdday 2016Docker avec Rancher, du dev à la prod - Makazi au devopsdday 2016
Docker avec Rancher, du dev à la prod - Makazi au devopsdday 2016
 
DOCKER AVEC RANCHER
DOCKER AVEC RANCHERDOCKER AVEC RANCHER
DOCKER AVEC RANCHER
 
Container Day 2016 - De la construction au déploiement d’applications avec de...
Container Day 2016 - De la construction au déploiement d’applications avec de...Container Day 2016 - De la construction au déploiement d’applications avec de...
Container Day 2016 - De la construction au déploiement d’applications avec de...
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
XebiCon'16 : Orange - Transformation DevOps, les conteneurs sont vos alliés !
XebiCon'16 : Orange - Transformation DevOps, les conteneurs sont vos alliés !XebiCon'16 : Orange - Transformation DevOps, les conteneurs sont vos alliés !
XebiCon'16 : Orange - Transformation DevOps, les conteneurs sont vos alliés !
 
Reverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le ProfitReverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le Profit
 
Objets Connectés Changent-ils nos comportements...
Objets Connectés Changent-ils nos comportements...Objets Connectés Changent-ils nos comportements...
Objets Connectés Changent-ils nos comportements...
 
La Duck Conf 2018 : "Une infrastructure peut en cacher une autre !"
La Duck Conf 2018 : "Une infrastructure peut en cacher une autre !"La Duck Conf 2018 : "Une infrastructure peut en cacher une autre !"
La Duck Conf 2018 : "Une infrastructure peut en cacher une autre !"
 
Docker en production et la sécurité … _
Docker en production   et la sécurité …  _Docker en production   et la sécurité …  _
Docker en production et la sécurité … _
 
Sensibilisation cyber hackinglab
Sensibilisation cyber hackinglabSensibilisation cyber hackinglab
Sensibilisation cyber hackinglab
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devops
 
Api win32 ancestrales pour chevaux de troie hyper furtifs
Api win32 ancestrales pour chevaux de troie hyper furtifsApi win32 ancestrales pour chevaux de troie hyper furtifs
Api win32 ancestrales pour chevaux de troie hyper furtifs
 
LA DUCK CONF 2023 - Sous le capot du cloud souverain
LA DUCK CONF 2023 - Sous le capot du cloud souverainLA DUCK CONF 2023 - Sous le capot du cloud souverain
LA DUCK CONF 2023 - Sous le capot du cloud souverain
 
Ia et cybersecurite - conférence 3IL
Ia et cybersecurite - conférence 3ILIa et cybersecurite - conférence 3IL
Ia et cybersecurite - conférence 3IL
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
 
Le Cloud computing c'est quoi ?
Le Cloud computing c'est quoi ?Le Cloud computing c'est quoi ?
Le Cloud computing c'est quoi ?
 

Plus de Rachid Zarouali

Les containers docker vu par un chef cuisinier et un mécanicien
Les containers docker vu par un chef cuisinier et un mécanicienLes containers docker vu par un chef cuisinier et un mécanicien
Les containers docker vu par un chef cuisinier et un mécanicien
Rachid Zarouali
 
Containers explained as for cook and a mecanics
 Containers explained as for cook and a mecanics  Containers explained as for cook and a mecanics
Containers explained as for cook and a mecanics
Rachid Zarouali
 
Start your container journey safely
Start your container journey safelyStart your container journey safely
Start your container journey safely
Rachid Zarouali
 
Securité des container
Securité des containerSecurité des container
Securité des container
Rachid Zarouali
 
Kit de Developpement Synolia
Kit de Developpement SynoliaKit de Developpement Synolia
Kit de Developpement Synolia
Rachid Zarouali
 
Docker to the Rescue of an Ops Team
Docker to the Rescue of an Ops TeamDocker to the Rescue of an Ops Team
Docker to the Rescue of an Ops Team
Rachid Zarouali
 
ContainerDays Hamburg 2017: Deploy Resilient E-Commerce Platform
ContainerDays Hamburg 2017: Deploy Resilient E-Commerce PlatformContainerDays Hamburg 2017: Deploy Resilient E-Commerce Platform
ContainerDays Hamburg 2017: Deploy Resilient E-Commerce Platform
Rachid Zarouali
 
Percona: Integrate PMM within an existing monitoring platform
Percona: Integrate PMM within an existing monitoring platformPercona: Integrate PMM within an existing monitoring platform
Percona: Integrate PMM within an existing monitoring platform
Rachid Zarouali
 
Meetup afup 21/09/16: monitoring à SYNOLIA
Meetup afup 21/09/16: monitoring à SYNOLIAMeetup afup 21/09/16: monitoring à SYNOLIA
Meetup afup 21/09/16: monitoring à SYNOLIA
Rachid Zarouali
 

Plus de Rachid Zarouali (9)

Les containers docker vu par un chef cuisinier et un mécanicien
Les containers docker vu par un chef cuisinier et un mécanicienLes containers docker vu par un chef cuisinier et un mécanicien
Les containers docker vu par un chef cuisinier et un mécanicien
 
Containers explained as for cook and a mecanics
 Containers explained as for cook and a mecanics  Containers explained as for cook and a mecanics
Containers explained as for cook and a mecanics
 
Start your container journey safely
Start your container journey safelyStart your container journey safely
Start your container journey safely
 
Securité des container
Securité des containerSecurité des container
Securité des container
 
Kit de Developpement Synolia
Kit de Developpement SynoliaKit de Developpement Synolia
Kit de Developpement Synolia
 
Docker to the Rescue of an Ops Team
Docker to the Rescue of an Ops TeamDocker to the Rescue of an Ops Team
Docker to the Rescue of an Ops Team
 
ContainerDays Hamburg 2017: Deploy Resilient E-Commerce Platform
ContainerDays Hamburg 2017: Deploy Resilient E-Commerce PlatformContainerDays Hamburg 2017: Deploy Resilient E-Commerce Platform
ContainerDays Hamburg 2017: Deploy Resilient E-Commerce Platform
 
Percona: Integrate PMM within an existing monitoring platform
Percona: Integrate PMM within an existing monitoring platformPercona: Integrate PMM within an existing monitoring platform
Percona: Integrate PMM within an existing monitoring platform
 
Meetup afup 21/09/16: monitoring à SYNOLIA
Meetup afup 21/09/16: monitoring à SYNOLIAMeetup afup 21/09/16: monitoring à SYNOLIA
Meetup afup 21/09/16: monitoring à SYNOLIA
 

Dernier

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
AlbertSmithTambwe
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
Horgix
 

Dernier (7)

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
 

Devops rex tales of container security