Security Assessment and Analysis in Docker Environments

Abstract

Os containers são uma solução mais leve quando comparados com as máquinas virtuais, pois evitam a sobrecarga da inicialização da máquina virtual. Desde que o Docker foi anunciado em 2013, tornou-se na solução de gestão de containers mais famosa devido à sua portabilidade, mas também devido ao fácil lançamento e configuração de containers. Estes atributos do Docker permitiram que as empresas poupassem tempo em configurações, o que levou a que migrassem alguns dos seus serviços das máquinas virtuais. No entanto ainda não é totalmente conhecido quais são os problemas de segurança nestes ambientes. O objectivo deste trabalho passa por perceber melhor a segurança na plataforma Docker e como é que as vulnerabilidades poderiam ter sido prevenidas. Para isto, começámos com uma análise detalhada dos relatórios de segurança disponíveis para a comunidade e o histórico dos problemas de segurança. Toda a informação obtida acerca das vulnerabilidades foi recolhida e utilizada para fazer uma sistematização tendo em conta causas, efeitos e consequências. O resultado desta análise demonstrou o escapar do sistema e ganhar privilégios são as consequências mais predominantes. Depois desta análise foi feito um estudo às ferramentas de análise estática disponíveis para o código do Docker, as quais foram aplicadas em código com vulnerabilidades e sem vulnerabilidades. Apesar destas reportarem vários problemas, os resultados sugerem que não são indicadas para encontrar as vulnerabilidades que estão a ser analisadas neste trabalho. Por fim, foi realizado um estudo a alguns ataques e respectivo código de correcção da vulnerabilidade. Através deste estudo foi possível ter uma melhor percepção da causa da vulnerabilidade. Também foi possível perceber que em alguns casos técnicas como testes de robustez e de intrusão podem evitar algumas vulnerabilidades.

Containers are a lighter solution to traditional virtualization, avoiding the overhead of starting and configuring the Virtual Machines (VMs). Since Docker was announced in 2013, it has become the most popular containerization solution, due to its portability, ease of deployment, and ease of configuration.These attributes allow companies to save time in configurations and have led them to migrate some services from VMs when considering these features. However, the security problems that may exist in these environments are still not completely understood. The goal of this work is to better understand the security of theDocker platform, and what could have been done to prevent its vulnerabilities.To this end, a detailed analysis of the security reports available to the community and the history of security issues was performed. Then, the available information about vulnerabilities was collected to systematize them according to causes, effects, and consequences. This showed that bypass and gain privileges were the most predominant consequences.Afterwards, a study on the static code analysis tools available for Docker codebase was conducted. The results were analyzed in order to understand the differences between the code with vulnerabilities and the respective corrections. Despite the various reported problems, the results suggest they are not suitable to find the considered vulnerabilities.Finally, a study was performed on some available exploits and correspondent patched code. Through this analysis, it was possible to better understand the cause of the vulnerabilities and their impact on the system. It was also possible to observe that some vulnerabilities could have been prevented if testing techniques, such as robustness and penetration testing, had been employed.