Книга: «Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений. 2-е изд.» / Хабр

Лиз Райс — вице-президент по open source в Aqua Security, мейнтейнер eBPF и автор первого издания. Первые пять лет после выхода книга реально была настольной у инженеров, которые расследовали инциденты в контейнерных средах.

Второе издание серьёзно переработано. Угрозы изменились, Kubernetes получил новые механизмы безопасности, eBPF вышел из стадии экспериментов, а supply chain-атаки стали обыденностью.

Если читали первое — здесь обновлённые модели угроз, разбор реальных CVE и конкретные рекомендации, а не просто теории.

Что внутри:

Архитектура контейнеров с точки зрения атакующего: как на самом деле работают namespaces, cgroups, capabilities и почему дефолтная конфигурация почти всегда дырявая.
Kubernetes: гораздо глубже мемов про «не запускайте от root» — сетевые политики, RBAC, admission controllers, runtime security.
eBPF и ИИ в безопасности контейнеров: где это даёт реальную пользу, а где пока красивый хайп.
Аудит и защита продакшен-окружений — практические чек-листы и паттерны, которые можно внедрять без покупки тяжёлых enterprise-решений.

В общем, для тех, кто не просто крутит контейнеры, а хочет понимать, как они устроены изнутри и где в них можно влезть.

Для кого эта книга

Независимо от того, разработчик вы, специалист в области безопасности, оператор или руководитель, если вам интересно дойти до самой сути того, как функционирует что-либо, и нравится проводить время за терминалом Linux, — эта книга для вас.

Если же вы ищете пошаговое руководство по безопасности контейнеров, то, возможно, книга вам не подойдет. Я не верю в существование универсального метода, одинаково хорошо подходящего для любых приложений во всех средах и для всех организаций. Напротив, я хочу помочь вам разобраться, что происходит при запуске приложений в контейнерах и как работают различные механизмы безопасности, чтобы вы могли сами оценить риски.

Как вы узнаете далее, контейнеры основаны на сочетании некоторых функциональных возможностей ядра Linux. Механизмы безопасности контейнеров во многом схожи с механизмами безопасности для хоста Linux (под словом «хост» я понимаю как виртуальные машины, так и физические серверы). Я объясню все нюансы функционирования этих механизмов, а затем продемонстрирую их применение в контейнерах. Опытные системные администраторы могут спокойно пропустить часть разделов и перейти сразу к информации, относящейся к контейнерам.

Вы, наверное, уже заметили, что я несколько раз упомянула Linux, но есть же и другие операционные системы! Я буду время от времени обращаться к ним, однако основное внимание в книге уделяется контейнерам Linux, работающим на хостах Linux.

Я предполагаю, что вы хотя бы поверхностно знакомы с контейнерами и, возможно, хотя бы немного экспериментировали с Docker и Kubernetes. А также понимаете, как минимум в общих чертах, выражения вроде «извлечь образ контейнера из реестра» или «запустить контейнер», даже если не знаете в точности, что происходит «под капотом» при подобных действиях. Я не жду от вас знаний нюансов работы контейнеров, по крайней мере до того, как вы прочитаете книгу.

Что нового во втором издании

С момента выхода первого издания книги в экосистеме контейнеров произошли значительные изменения. В 2020 году кибератака на SolarWinds привлекла внимание к цепочке поставок программного обеспечения, что привело к формированию целого направления — безопасности цепочки поставок. Термин GitOps впервые был упомянут в 2018 году, а широкое распространение получил в последние несколько лет в немалой степени потому, что организации начали использовать «раннеры» (runners — исполнители заданий, обычно временные виртуальные машины), предоставляемые GitHub и другими платформами репозиториев, в рамках современного подхода к непрерывной интеграции и непрерывной поставки (CI/CD). Технология eBPF стала ведущей для инструментов, обеспечивающих безопасность среды выполнения контейнеров, и сетевых взаимодействий между ними. Даже фундаментальные основы, на которых базируются контейнеры, претерпели изменения: они по-прежнему используют пространства имен Linux, но пространство имен пользователей теперь применяется намного чаще, контейнеры без привилегий суперпользователя (root-прав) стали реальностью, а экосистема перешла на cgroups v2.

Сообщества, занимающиеся облачными технологиями и контейнерами, способствовали распространению знаний о передовых методах обеспечения безопасности, поэтому некоторые из наиболее опасных приемов (например, установка пакетов в работающий контейнер), к счастью, встречаются намного реже, чем раньше. Тем не менее они все еще описываются в книге, потому что крайне важно, чтобы мы не вернулись к их использованию!

И, пожалуй, самое заметное изменение с момента выхода первого издания: Kubernetes прочно утвердился в роли доминирующего инструмента оркестрации.

«Исчерпывающее руководство по изоляции ядра Linux, контейнеров и виртуальных машин, написанное в неповторимом стиле, характерном для Лиз. Если вам нравятся ее лекции и живые выступления с написанием кода на глазах у зрителей, то понравится и эта книга. Лиз проведет вас по миру безопасности контейнеров, даст практические советы и познакомит с инструментами и методами защиты приложений и данных».
— Эндрю Мартин, генеральный директор ControlPlane

«Конкретный и практический подход Лиз к безопасности контейнеров делает эту книгу бесценным источником знаний для ИТ-специалистов. Благодаря расширенному освещению основ работы с Linux и контейнерами это новое издание послужит незаменимым пособием по безопасности контейнеров».
— Фил Эстес, ведущий инженер по стратегии в области контейнеров и открытых технологий, AWS

Об авторе

Лиз Райс (Liz Rice)

главный специалист по открытым технологиям в компании Isovalent, специализирующейся на eBPF и сетевой безопасности и основавшей проект Cilium. Ныне Isovalent входит в состав Cisco. Лиз занимала множество должностей в Cloud Native Computing Foundation (CNCF): была членом управляющего совета, председателем комитета по техническому надзору и сопредседателем конференций KubeCon + CloudNativeCon. Она также является автором книги Изучаем eBPF и первого издания «Безопасность контейнеров». В свободное от работы время Лиз катается на велосипеде в местах с более приятной, чем в ее родном Лондоне, погодой, и пишет музыку под псевдонимом Insider Nine.

Ознакомиться с оглавлением