Test di Sicurezza dei Container: Docker, Immagini e Protezione Runtime

Verifica della Sicurezza delle Immagini

Il testing delle immagini container valuta la provenienza dell'immagine di base (registri affidabili rispetto a fonti pubbliche), la scansione di CVE note (pacchetti OS, dipendenze dell'applicazione), la firma e la verifica dell'immagine, la costruzione di immagini minimali (pacchetti non necessari ampliano la superficie di attacco) e le best practice di Dockerfile (build multi-stage, utenti non-root, livelli di sola lettura).

Verifica della Configurazione Runtime

Il testing runtime valuta se i container vengono eseguiti come non-root, se la modalità privileged è disabilitata, se l'eliminazione delle capability è implementata, se i filesystem root di sola lettura sono applicati e se i limiti delle risorse impediscono attacchi denial-of-service. Ogni privilegio non necessario è un potenziale vettore di fuga.

Sicurezza del Registro

Il testing valuta i controlli di accesso al registro, le policy di pull delle immagini, l'integrazione della scansione delle vulnerabilità e se immagini non firmate o non scansionate possono essere distribuite in produzione.

Vettori di Fuga del Container

Il testing sonda i vettori di fuga: container privileged, condivisione del namespace host, mount socket Docker scrivibili, sfruttamento delle vulnerabilità del kernel e profili seccomp/AppArmor configurati in modo errato. La fuga del container è la scoperta di massima gravità nella sicurezza dei container.

Testing con Penetrify

Il container security testing di Penetrify copre l'analisi delle immagini, la configurazione runtime, la sicurezza del registro e il testing dei vettori di fuga, fornendo la valutazione completa della sicurezza dei container richiesta dai framework di conformità.