Cet article fait partie de notre guide: Conteneurs : Mémo sur les principaux acteurs du marché

Quelle sécurité pour les conteneurs Hyper-V dans Windows Server 2016 ?

Faute d’isolement, les moteurs de conteneurs de type Docker peuvent compromettre l’ensemble d’un système d’exploitation racine. Voici les mesures à prendre pour sécuriser les conteneurs Hyper-V dans Windows Server 2016.

Peu gourmande en ressources, déploiement rapide et évolutivité maximale : la technologie des conteneurs cristallise l’attention du secteur informatique. Mais le moteur de conteneurs le plus répandu, Docker, peine à combler d’importantes failles de sécurité.

La source du problème de Docker provient de l’isolement insuffisant entre les instances de conteneurs. En d’autres termes, chaque conteneur partage les mêmes fichiers binaires, bibliothèques et noyau appartenant à l’OS hôte. En cas d’événement de sécurité, notamment d'attaque par un logiciel malveillant, si les sécurités brisées d’un conteneur laissent libre accès au système d’exploitation racine, c’est l’ensemble du système d’exploitation sous-jacent qui risque d’être compromis, y compris tous les conteneurs qui s’y exécutent.

Lors de son exécution, un conteneur parle déjà au noyau de l’hôte. De son côté, Linux ne définit aucun espace de noms pour isoler ou protéger les principaux sous-systèmes ou unités du noyau. Et s’il y a communication avec le noyau ou les unités, l’ensemble du système risque d’être compromis.

Si Docker s’est engagé à améliorer la sécurité, en attendant, vous trouverez ici quelques méthodes pour protéger les conteneurs Hyper-V.

1. Restreignez les conteneurs aux charges de travail connues et en provenance de tiers de confiance. Evitez les charges de travail risquées notamment tous ces outils très utiles ou autres qui traînent sur le Web.

2. Testez et appliquez les correctifs et mises à jour de sécurité Linux avec constance. Un soutien fiable du système d’exploitation, par exemple celui de Red Hat Enterprise Linux, aide à repérer les vulnérabilités et à y remédier.

3. Exécutez autant que possible les conteneurs sans privilèges root et opérez le moins possible avec ces privilèges. Quoi qu’il arrive, gardez toujours en tête que les privilèges root d’un conteneur sont équivalents à ceux en vigueur en dehors du conteneur.

Dans Windows Server 2016, les conteneurs Hyper-V commencent par utiliser Hyper-V pour créer une machine virtuelle (VM) à des fins d’isolement. Une fois qu’une VM est disponible, on peut installer Linux comme système d’exploitation et exécuter un moteur tel que Docker qui prendra en charge les conteneurs.

Cette virtualisation revêt une forme imbriquée. Si le conteneur et le système d’exploitation Linux sous-jacent venaient à être compromis, c'est l'intégralité de l'événement de sécurité qui devra rester circonscrit au sein de la machine virtuelle Hyper-V.

Si le concept de conteneurs n’est pas nouveau, le moteur Docker a ravivé l’intérêt pour cette technologie. En prenant en charge en natif la virtualisation imbriquée et les conteneurs dans son Windows Server 2016, Microsoft espère provoquer une migration des conteneurs des déploiements Linux vers les environnements Windows.

Fort de la gestion simplifiée et du meilleur isolement des instances de conteneurs qu’il apporte, Windows Server 2016 devrait pousser les entreprises à adopter le déploiement des conteneurs et à l’étendre. Les personnels IT devraient bientôt pouvoir tester les conteneurs Hyper-V dans des versions préliminaires (Technology Preview) du système d’exploitation et planifier l’adoption des conteneurs sous Windows et Docker.

Pour approfondir sur Stockage de conteneurs