Docker procura reforçar segurança de “contentores”

A nova aposta, a Docker Content Trust, visa oferecer uma estrutura de segurança normalizada para imagens Docker.

dockerConforme amadurece, a Docker tem lidado com os problemas de segurança associados à utilização de contentores ou invólucros virtuais de software. Ultimamente, tem estado concentrada na forma como certificar  o conteúdo do “container”.

O mais recente investimento, a Docker Content Trust, procura oferecer  uma maneira de os utilizadores de aplicações, mantidas nesses invólucros, garantirem que quem os disponibiliza e o conteúdo são realmente o que dizem ser. A novidade também torna o mecanismo de verificação mais normalizado, pelo menos quando a infra-estrutura de entrega de conteúdo da Docker (como a Docker Hub) é usada.

A Docker Content Trust funciona certificando-se de que os recipientes virtuais são assinados pelos seus criadores antes de estarem disponíveis ao público, com as assinaturas verificáveis. Duas chaves são usadas no processo: uma chave por repositório, para a assinatura de imagens Docker (disponível online), e uma chave de raiz para criar novas chaves por repositório (mantidas offline).

Com estes dois mecanismos, é mais difícil falsificar assinaturas porque um intruso precisa de ter acesso a ambas as chaves. Se uma chave de repositório for roubada, o emissor do invólucro seria capaz de gerar uma nova com a chave raiz.

Este sistema de assinatura foi desenvolvido usando um projecto da Docker já existente, o Notary. E uma integração forte com o Docker Engine significa restringir as acções comuns dos contentores, apenas aos conteúdos assinados.


Tags


Deixe um comentário

O seu email não será publicado