Security Assessment and Analysis in Docker Environments

Detalhes bibliográficos
Autor(a) principal: Duarte, Ana Filipa Sêco
Data de Publicação: 2018
Tipo de documento: Dissertação
Idioma: eng
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10316/83545
Resumo: Dissertação de Mestrado em Engenharia Informática apresentada à Faculdade de Ciências e Tecnologia
id RCAP_730d1c07f377861136c8c5dba94041e9
oai_identifier_str oai:estudogeral.uc.pt:10316/83545
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Security Assessment and Analysis in Docker EnvironmentsAvaliação e Análise da Segurança em Ambientes DockerDockerSegurançaAvaliação de SegurançaAnálise EstáticaDockerSecuritySecurity AssessmentStatic Code AnalysisDissertação de Mestrado em Engenharia Informática apresentada à Faculdade de Ciências e TecnologiaOs containers são uma solução mais leve quando comparados com as máquinas virtuais, pois evitam a sobrecarga da inicialização da máquina virtual. Desde que o Docker foi anunciado em 2013, tornou-se na solução de gestão de containers mais famosa devido à sua portabilidade, mas também devido ao fácil lançamento e configuração de containers. Estes atributos do Docker permitiram que as empresas poupassem tempo em configurações, o que levou a que migrassem alguns dos seus serviços das máquinas virtuais. No entanto ainda não é totalmente conhecido quais são os problemas de segurança nestes ambientes. O objectivo deste trabalho passa por perceber melhor a segurança na plataforma Docker e como é que as vulnerabilidades poderiam ter sido prevenidas. Para isto, começámos com uma análise detalhada dos relatórios de segurança disponíveis para a comunidade e o histórico dos problemas de segurança. Toda a informação obtida acerca das vulnerabilidades foi recolhida e utilizada para fazer uma sistematização tendo em conta causas, efeitos e consequências. O resultado desta análise demonstrou o escapar do sistema e ganhar privilégios são as consequências mais predominantes. Depois desta análise foi feito um estudo às ferramentas de análise estática disponíveis para o código do Docker, as quais foram aplicadas em código com vulnerabilidades e sem vulnerabilidades. Apesar destas reportarem vários problemas, os resultados sugerem que não são indicadas para encontrar as vulnerabilidades que estão a ser analisadas neste trabalho. Por fim, foi realizado um estudo a alguns ataques e respectivo código de correcção da vulnerabilidade. Através deste estudo foi possível ter uma melhor percepção da causa da vulnerabilidade. Também foi possível perceber que em alguns casos técnicas como testes de robustez e de intrusão podem evitar algumas vulnerabilidades.Containers are a lighter solution to traditional virtualization, avoiding the overhead of starting and configuring the Virtual Machines (VMs). Since Docker was announced in 2013, it has become the most popular containerization solution, due to its portability, ease of deployment, and ease of configuration.These attributes allow companies to save time in configurations and have led them to migrate some services from VMs when considering these features. However, the security problems that may exist in these environments are still not completely understood. The goal of this work is to better understand the security of theDocker platform, and what could have been done to prevent its vulnerabilities.To this end, a detailed analysis of the security reports available to the community and the history of security issues was performed. Then, the available information about vulnerabilities was collected to systematize them according to causes, effects, and consequences. This showed that bypass and gain privileges were the most predominant consequences.Afterwards, a study on the static code analysis tools available for Docker codebase was conducted. The results were analyzed in order to understand the differences between the code with vulnerabilities and the respective corrections. Despite the various reported problems, the results suggest they are not suitable to find the considered vulnerabilities.Finally, a study was performed on some available exploits and correspondent patched code. Through this analysis, it was possible to better understand the cause of the vulnerabilities and their impact on the system. It was also possible to observe that some vulnerabilities could have been prevented if testing techniques, such as robustness and penetration testing, had been employed.Outro - This work was partially carried out in the scope of the MobiWise project: From mobile sensing to mobility advising (P2020 SAICTPAC/0011/2015), co-financed by COMPETE 2020, Portugal 2020 - Operational Program for Competitiveness and Internationalization (POCI), European Union's ERDF (European Regional Development Fund), and the Portuguese Foundation for Science and Technology (FCT).2018-09-10info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesishttp://hdl.handle.net/10316/83545http://hdl.handle.net/10316/83545TID:202129489engDuarte, Ana Filipa Sêcoinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2019-06-02T15:02:32Zoai:estudogeral.uc.pt:10316/83545Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:05:15.977236Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Security Assessment and Analysis in Docker Environments
Avaliação e Análise da Segurança em Ambientes Docker
title Security Assessment and Analysis in Docker Environments
spellingShingle Security Assessment and Analysis in Docker Environments
Duarte, Ana Filipa Sêco
Docker
Segurança
Avaliação de Segurança
Análise Estática
Docker
Security
Security Assessment
Static Code Analysis
title_short Security Assessment and Analysis in Docker Environments
title_full Security Assessment and Analysis in Docker Environments
title_fullStr Security Assessment and Analysis in Docker Environments
title_full_unstemmed Security Assessment and Analysis in Docker Environments
title_sort Security Assessment and Analysis in Docker Environments
author Duarte, Ana Filipa Sêco
author_facet Duarte, Ana Filipa Sêco
author_role author
dc.contributor.author.fl_str_mv Duarte, Ana Filipa Sêco
dc.subject.por.fl_str_mv Docker
Segurança
Avaliação de Segurança
Análise Estática
Docker
Security
Security Assessment
Static Code Analysis
topic Docker
Segurança
Avaliação de Segurança
Análise Estática
Docker
Security
Security Assessment
Static Code Analysis
description Dissertação de Mestrado em Engenharia Informática apresentada à Faculdade de Ciências e Tecnologia
publishDate 2018
dc.date.none.fl_str_mv 2018-09-10
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10316/83545
http://hdl.handle.net/10316/83545
TID:202129489
url http://hdl.handle.net/10316/83545
identifier_str_mv TID:202129489
dc.language.iso.fl_str_mv eng
language eng
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799133944887640064

Registros relacionados