DockerCon Europe 2015: Sicherheit geht vor

Für die europäische Variante der Hauskonferenz hatte Ausrichter Docker Inc. in die katalanische Hauptstadt eingeladen. Ein Kernthema in Barcelona: Verbesserungen in Sicherheitsfragen für die beliebte Containertechnik. Ein Blick auf den ersten Tag.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
DockerCon Europe 2015: Sicherheit geht vor
Lesezeit: 2 Min.
Von
  • Udo Seidel

Heute und Morgen trifft sich die kontinentale Docker-Community im katalanischen Barcelona zur europäischen Ausgabe der DockerCon. In der Keynote stellte Ben Gollub, CEO der Docker-Inc, die drei Grund-Themen der Konferenz vor: "Empowering the Makers", "Docker in Production" und "End to End matters". Zum Erreichen dieser Ziele müsse sich die beliebte Container-Technologie aber noch um ein paar alte Hausaufgaben kümmern. Ein großer Sektor hiervon betrifft bekanntlich die Sicherheit und so verwundert es nicht weiter, dass sich die Neuankündigungen genau in diesem Bereich häufen.

Schon in der Keynote verdeutlichte Docker-Inc.-Chef Ben Gollub, dass Sicherheit sowohl bei den Docker-Machern als auch für den späteren produktiven Einsatz einen höheren Stellenwert als bislang hat.

Chef-Architekt und Gründer Solomon Hykes stellt zunächst das hardware-unterstützte Signieren von Docker-Images vor. Die Basis dafür bildet eine Partnerschaft mit Yubico und deren Produkt Yubikey 4. Die Hardware fungiert hierbei quasi als eine Root-CA für Zertifikate. Es lassen sich die Schlüssel erzeugen, die zum Signieren der Container-Abbilder dienen. Ebenso lassen sich eventuell kompromittierte Schlüssel widerrufen. Neben der Hardware braucht der Anwender noch die kürzlich freigegebene Docker-Version 1.9 der Docker-Engine. Als Beweis wie ernst es den Entwicklern ist, bekam jeder Teilnehmer einen Yubikey 4 als "Mitbringsel".

Nummer zwei in Sachen besserer Security ist das Aufspüren potenzieller Verwundbarkeiten von Abbildern in den offiziellen Docker-Repositories. Die Maschinerie dahinter ist schon seit zwei Monaten und soll angeblich schon Sicherheitslücken gefunden haben, von denen die zuständigen O/S-Hersteller selbst noch nichts wussten. Im Moment laufen die entsprechenden Mechanismen automatisch und im Hintergrund. Eine Art Selbstbedienungsportal soll zu einem späteren Zeitpunkt dazukommen. Den Abschluss zum Thema Docker und Sicherheit bildet die neueste experimentelle Version der Container-Maschine. Diese unterstützt die sogenannten "user namespaces" und "seccomp". Diese beiden Sicherheitsmerkmale des Linux-Kernel hatte die Docker-Engine bislang noch nicht unterstützt. Auch nach der Keynote ging es mit dem Thema Sicherheit munter weiter. Neben einem eigenen Track dazu schmuggelten die Veranstalter weitere Vorträge unter der Rubrik "Wild Card" ins Programm. (avr)