Docker görüntülerinde zafiyet tespiti ve kapsayıcıların güvenli çalıştırılması üzerine bir model önerisi

Abstract

Kapsayıcı tabanlı sanallaştırma teknolojileriyle birlikte geleneksel sanallaştırma teknolojilerinin tüm donanımın sanallaştırılması yaklaşımının yerine uygulama ihtiyaçlarına özgü kaynakların kullanıldığı bir yaklaşım benimsenmiştir. Kapsayıcı tabanlı sanallaştırma teknolojilerinin kullanımı ile kolaylıkla oluşturulan, taşınabilen uygulama kapsayıcıları; geleneksel sanallaştırma teknolojilerine kıyasla daha performanslı çalışmakta ve etkin kaynak kullanımı sağlamaktadır. Docker, aynı işletim sisteminin üzerinde çok sayıda birbirinden yalıtılmış ve bağımsız kapsayıcıların çalışmasına imkân sağlayan kapsayıcı tabanlı sanallaştırma teknolojisidir. Kapsayıcı tabanlı sanallaştırma teknolojisi ile sağlanan kaynakların etkin kullanımı, Docker kapsayıcılarının kullanımına olan rağbeti arttırmakla kalmamış kalmamış, mikro servislerin yönetiminde de etkin bir rol üstlenmiştir. Docker kapsayıcılarının kurumsal ve bireysel kullanımının yaygınlaşması; Docker platformunu saldırganlar için önemli birer hedef haline getirmiştir. Docker Hub deposunda bulunan milyonlarca Docker görüntüsünün milyarlarca kez indirilmesi Docker görüntülerinin güvenli çalıştırılması problemini ortaya çıkarmıştır. Docker platformu üzerindeki kapsayıcıların güvenli bir şekilde çalıştırılması, siber saldırılar sonrasında itibar, mali ve hizmet kayıplarının önüne geçebilecektir. Docker kapsayıcı güvenliğinin sağlanmasına yönelik statik, dinamik analiz ile zararlı yazılım tespiti başlıklarını içerecek şekilde bir çalışma yapılarak, mevcut açık kaynak araçlar aracılığıyla Docker kapsayıcı güvenliğinin bir bütün olarak nasıl ele alınabileceği ile ilgili bir yöntem öne sürülmüştür. Önerilen yöntem ile Docker kapsayıcılarının statik ve dinamik analizleri yapılarak görüntülerin zararlı yazılım ve zafiyetli paket barındırmadığı doğrulanacak, kapsayıcıya ait kaydedilen ağ trafiği analiz edilerek zararlı görüntüler tespit edilecektir. Ayrıca önerilen yöntem vasıtası ile sistem yöneticisi kontrolü dışında açılan portların tespiti yapılarak, Docker kapsayıcıların zararlı davranış sergilemesinin önüne geçilmesi hedeflenmiştir.

Along with container-based virtualization technologies, an approach that uses resources specific to application needs has been adopted instead of the traditional virtualization technologies' approach to virtualization of all hardware. Easily created and portable application containers with the use of container-based virtualization technologies works better than conventional virtualization technologies and provides efficient resource use. Docker is a container-based virtualization technology that allows multiple isolated and independent containers to run on the same operating system. Effective use of the resources provided by the container-based virtualization technology has not only increased the demand for the use of Docker containers, but also played an active role in the management of micro services. Expansion of corporate and individual use of Docker containers; It has made the Docker platform an important target for attackers. Billions of downloads of millions of Docker images in the Docker Hub repository have created the problem of safe execution of Docker images. To run containers safely on the Docker platform will prevent possible reputation, money and service losses due to cyber attacks. A study was conducted to include static, dynamic analysis and malware detection headings to ensure Docker container security, and a method was suggested about how Docker container security could be handled as a whole through available open source tools. With the proposed method, static and dynamic analyzes of Docker containers will be made to verify that the images do not contain malicious software and vulnerable packages, and malicious images will be detected by analyzing the recorded network traffic of the container. In addition, by means of the proposed method, it is aimed to prevent the harmful behavior of Docker containers by detecting the ports opened outside the control of the system administrator.