Docker يجعل تدوير الحاويات نسيمًا. ولكن كيف تعرف ما إذا كانت الحاوية المسحوبة من Docker Hub تحتوي على أبواب خلفية أو برامج ضارة؟ تعالج مبادرة Docker للناشر المعتمد هذه المشكلة.
الشعبية تجعلك هدفاً
مجرمو الإنترنت لا يحبون شيئًا أكثر من طرق سهلة لآلات الضحايا ، وغني عن القول ، كلما زاد عددهم كان أكثر مرحًا. إذا أصبح منتج أو منصة تحظى بشعبية كبيرة ، فيمكنك المراهنة على أنها تلفت انتباه الجهات الفاعلة في التهديد الذين سيحاولون الاستفادة من هذا النجاح لصالحهم.
Docker هي شركة عالمية رائدة في مجال النقل بالحاويات.بالنسبة للعديد من الأشخاص ، هذا هو الاسم الأول الذي يتبادر إلى الذهن عند ذكر الحاويات. تسمح الحاويات للمطورين بلف تطبيق وتبعياته في حزمة قائمة بذاتها تسمى صورة. هذا يجعل توزيع الحزمة أسهل لأن كل ما هو مطلوب لتشغيل التطبيق موجود داخل الصورة. لا توجد أبدًا تبعيات غير مستوفاة ، بغض النظر عن الآلة التي تعمل عليها الحاوية.
يمكن اعتبار الحاويات بمثابة آلات افتراضية بسيطة. إذا كانوا يقدمون تطبيقًا ، فلن يحتاجوا إلى نظام تشغيل داخل الحاوية. هم فقط بحاجة إلى تبعيات التطبيق. هذا يقلل من حجم الصور ويعزز الأداء عند تشغيل الحاوية. تعمل محتويات الحاوية على نظام تشغيل الكمبيوتر المضيف ، معزولة عن العمليات الأخرى.
نظرًا لوجود عدد أقل من الأشياء داخل الحاوية التي تتطلب موارد وقدرة حسابية مقارنة بالجهاز الظاهري ، يمكن تشغيلها على أجهزة أكثر تواضعًا.هذا يعني أنه يمكنك تشغيل المزيد منها على قطعة واحدة من الأجهزة ، بأداء جيد ، أكثر مما يمكنك تشغيله على الأجهزة الافتراضية التقليدية. حتى الحاويات التي تم إنشاؤها لتوفير توزيعات Linux المختلفة هي مجرد لقطات لنظام ملفات للتوزيع. يتم تشغيلها باستخدام نواة الكمبيوتر المضيف.
الكثير من التكنولوجيا والتطبيقات داخل الحاويات مفتوحة المصدر. هذا يعني أنه يمكن لأي شخص توزيعها واستخدامها بحرية. تسمح لك حاويات Docker باعتماد المبدأ القائل بأنه يجب معاملة الخوادم مثل الماشية ، وليس الحيوانات الأليفة. لم تدفع فوائد الحاويات التبني الواسع للتكامل المستمر والنشر المستمر (CI / CD) فحسب ، بل إنها مكنته أيضًا.
اشترت Mirantis Docker في نوفمبر من عام 2019. في ذلك الوقت ، تم استخدام Docker Enterprise بنسبة 30٪ من Fortune 100 و 20٪ من Global 500. واليوم ، يقدم Docker Hub 13 مليار صورة مذهلة -تنزيل الحاويات- شهريًا من ما يقرب من 8 مليون مستودعات.
هذه الأرقام مؤثرة للغاية بحيث يتعذر على مجرمي الإنترنت تجاهلها. ما الذي يمكن أن يكون أبسط من إنشاء صور مخترقة وخبيثة ، وتحميلها على Docker Hub ، وانتظار المستخدمين المطمئنين لتنزيلها واستخدامها؟
المشكلة مع الصور غير الآمنة
هناك مشكلة متأصلة في سحب الصور من المستودع واستخدامها. أنت لا تعرف ما إذا كان قد تم إنشاؤها مع مراعاة الأمان ، أو ما إذا كانت مكونات البرامج داخل الحاوية هي الإصدارات الحالية ولا تزال ضمن دورة حياتها المدعومة. هل تم تطبيق جميع إصلاحات الأخطاء وتصحيحات الأمان المتاحة لهم؟ أو ما هو أسوأ من ذلك ، هل تحتوي على تعليمات برمجية ضارة تم زرعها عمدًا من قبل جهات التهديد؟
يواجه Docker مشكلة مماثلة لـ Apple و Google. يتعين على Apple و Google محاولة مراقبة متجر التطبيقات و Google Play للتطبيقات الضارة. يتخذ Docker نهجًا مختلفًا قليلاً. يزيل Docker صور الحاويات التي تم اكتشاف أنها ضارة.كما أنها توفر نظام تحقق لناشري الحاويات.
في الماضي ، قام Docker بإزالة مجموعة من الصور التي تم تحميلها بواسطة Docker حساب Docker123321. كان هناك 17 حاوية أو نحو ذلك من هذا الحساب الفردي تحتوي على تعليمات برمجية ضارة. تم عرض الصور على أنها حاويات بريئة تدعم تطبيقات مثل Apache Tomcat و MySQL ، ولكن بالإضافة إلى ذلك ، كانت الحاويات تحتوي على كود يوفر قذائف SSH عكسية للمهاجمين ، مما يسمح لهم بالوصول إلى الحاويات متى كانت مناسبة لهم.
تم العثور على قذائف Python العكسية وقذائف Bash العكسية ، وحتى حاوية واحدة تحتوي على مفتاح SSH لممثل التهديد. وقد منحهم ذلك إمكانية الوصول عن بُعد دون الحاجة إلى كلمة مرور. تم العثور على حاويات أخرى لاستضافة برنامج تشفير. هذا يعني أن الحاويات تم تشفيرها في وقت مبكر. سوف يدفع المستخدم المطمئن مقابل الكهرباء ويفقد قوة المعالجة لتمويل مجرم الإنترنت Monero cryptomining.
هذه الهجمات هي مزيج من هجمات حصان طروادة وسلسلة التوريد.
برنامج الناشر المعتمد
يوفر Docker بالفعل مجموعة من صور الحاويات المعروفة باسم الصور الرسمية. هذه الصور عبارة عن مجموعة منظمة من الحاويات تمت مراجعتها بواسطة فريق Docker مخصص.
يتعاون الفريق مع المشرفين على المنبع ومقدمي البرامج في الحاويات. الصور الرسمية هي أمثلة لأفضل ممارسات حاوية Docker ، بما في ذلك التوثيق الواضح وتطبيق تصحيحات الأمان. أصبحت صور Docker الرسمية متاحة مؤخرًا لجمهور أوسع من خلال المزيد من المستودعات.
توفر مبادرة الناشر المعتمد الوصول إلى محتوى Docker الذي يختلف عن طريق الوصول إلى موفري خدمات معروفين وموثوقين وموثوقين. هناك أكثر من 200 من بائعي البرامج الذين اشتركوا في البرنامج وصدقوا عليه ، وتتزايد الأرقام بسرعة. يمكن استخدام الصور من الناشرين المعتمدين بثقة عالية في التطبيقات والبنية التحتية ذات المهام الحرجة.
الناشر المعتمد وبرامج الصور الرسمية هي مخططات تكميلية. العديد من صور الحاوية التي يوفرها الناشرون المعتمدون ستكون أيضًا صورًا رسمية. يتيح لك زوج من مربعات الاختيار في صفحة Docker Hub Explore تحديد أن نتائج البحث مقيدة لتضمين الصور الرسمية أو الصور المقدمة من الناشرين المعتمدين أو كليهما.
مبادرة ترحيب
أظهرت هجمات SolarWinds و CodeCov مدى فعالية هجمات سلسلة التوريد. إن مهاجمة نقطة مركزية تعرض المستهلكين للمنتجات والخدمات للخطر بعد ذلك هي طريقة توزيع فعالة. تعتبر الحاويات المخترقة طريقة مثالية لتوزيع هذا النوع من الهجوم. إنه يلعب على أساس الاعتقاد بأن بعض مصادر المعلومات والبرامج آمنة بطبيعتها ويمكن الوثوق بها.وعمومًا ، هذا هو الحال. لكن كما رأينا ، إنه افتراض كبير.
من الضروري أن تكون المنظمات واضحة بشأن مصدر وسلامة الحاويات التي تنسحبها من المستودعات. يمكن اعتبار الصور الرسمية والناشرين المعتمدين شكلاً من أشكال الشهادة التي تسهل معرفة ما يمكن الوثوق به فورًا.
إذا جعلت صور Docker متاحة للجمهور ، وتعتقد أن أن تصبح ناشرًا معتمدًا سيكون مفيدًا لك ، فيمكنك بدء عملية التقديم للانضمام إلى المخطط على صفحة الويب للناشر المعتمد.
