Защита с TLS в Docker

Введение

Контейнеры Docker стали стандартным инструментом для разработки, тестирования и разворачивания приложений. Однако, с широким распространением приходит и повышенная угроза безопасности. Docker предлагает встроенные средства защиты, и одним из наиболее эффективных инструментов является поддержка TLS (Transport Layer Security). TLS позволяет шифровать данные, проходящие между Docker-клиентом и сервером, защищая их от перехвата и подмены.

В этой статье мы рассмотрим, как настроить и использовать TLS для улучшения безопасности ваших контейнеров Docker. Я покажу вам, как создать самоподписанный сертификат, как настроить Docker для использования TLS и как вызвать Docker API через защищенное соединение.

Создание самоподписанного сертификата

Первым шагом в настройке TLS является создание самоподписанного сертификата. Мы будем использовать openssl – это удобный инструмент для работы с сертификатами.

Генерация корневого сертификата (CA)

Корневой или самоподписанный сертификат CA (Certificate Authority) нужен для подписи других сертификатов.

# Создаем приватный ключ CA
openssl genpkey -algorithm RSA -out ca-key.pem

# Создаем самоподписанный корневой сертификат
openssl req -x509 -new -nodes -key ca-key.pem -days 365 -out ca.pem -subj "/CN=My Docker CA"

Объяснение кода:

• genpkey -algorithm RSA — команда генерирует RSA приватный ключ.
• req -x509 — соответственно, создается новый запрос на сертификат и сразу подписывается для генерации сертификата CA.
• -subj "/CN=My Docker CA" — эта часть определяет поле субъекта в сертификате, которое может содержать любую удобную для вас информацию.

Создание сертификатов для Docker сервера и клиента

Теперь давайте создадим персональные сертификаты для клиента и сервера Docker.

# Создаем серверный ключ и запрос сертификата
openssl genpkey -algorithm RSA -out server-key.pem
openssl req -new -key server-key.pem -out server.csr -subj "/CN=localhost"

# Подписываем серверный сертификат с помощью CA
openssl x509 -req -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -days 365

# Создаем клиентский ключ и запрос сертификата
openssl genpkey -algorithm RSA -out key.pem
openssl req -new -key key.pem -out client.csr -subj "/CN=client"

# Подписываем клиентский сертификат с помощью CA
openssl x509 -req -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -days 365

Объяснение:

• Мы выполняем похожие шаги для создания ключей и сертификатов сервера и клиента.
• -CAcreateserial создает файл с серийным номером подписи, необходимый при подписании сертификатов.

Настройка Docker для использования TLS

Чтобы Docker использовал TLS, необходимо внести изменения в конфигурационные файлы Docker. Эти изменения могут касаться как демона Docker, так и клиента Docker.

Конфигурация Docker демона

Для безопасного общения Docker демон должен быть настроен для работы с TLS:

• Создайте файл: /etc/docker/daemon.json json { "tls": true, "tlsverify": true, "tlscacert": "/path/to/ca.pem", "tlscert": "/path/to/server-cert.pem", "tlskey": "/path/to/server-key.pem", "hosts": ["unix:///var/run/docker.sock", "tcp://0.0.0.0:2376"] }
• После обновления конфигурации необходимо перезапустить Docker демон для применения изменений.

Конфигурация Docker клиента

Для выполнения команд Docker клиентом по защищенному соединению необходимо явно указать использовать TLS:

export DOCKER_TLS_VERIFY=1
export DOCKER_CERT_PATH="/path/to/certs"
export DOCKER_HOST="tcp://<docker-host-ip>:2376"

Теперь клиент Docker будет подключаться к серверу через защищенное соединение.

Использование Docker с TLS

После завершения настроек проверки можно начать использовать Docker с TLS. Давайте посмотрим, как можно обратиться к Docker API при помощи защищенного соединения.

Пример вызова команды

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://<docker-host-ip>:2376 info

Разбор примера:

• --tlsverify активирует проверку сертификата.
• -H указывает, что используется протокол tcp и адрес Docker API.

Заключение

Защита с TLS в Docker — это мощный способ убедиться, что ваши данные остаются конфиденциальными между клиентом и сервером. Правильная настройка TLS помогает защитить систему от потенциальных угроз и улучшает доверие к вашим приложениям. Мы рассмотрели, как создать сертификаты, как их применить в Docker и проверить настроенные соединения. Эти шаги помогут вам сделать рабочее окружение более безопасным.