Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Introducción a UBI Micro de Red Hat

Por: Scott McCarty




Crédito: Pexels

¿Qué es la superficie de ataque de todos modos? En una de las fábulas de Esopo, El ratón del pueblo y el ratón del campo, el ratón del campo le dice al ratón de la ciudad: "Puede que tengas lujos y manjares que yo no tengo" ... "pero prefiero mi comida sencilla y mi vida sencilla en el campo. con la paz y la seguridad que la acompañan ". Este es un concepto familiar incluso para los antiguos griegos. En cualquier sistema, hay menos dolor de cabeza, menos estrés y menos riesgo cuando depende de menos piezas móviles. En seguridad informática, nos referimos a este concepto como superficie de ataque. Y estamos en una batalla constante para reducir la superficie de ataque, una lucha entre la conveniencia y la minimización.





La búsqueda para reducir la superficie de ataque de los contenedores de Linux


En la búsqueda por reducir la superficie de ataque , siempre existe una tensión entre las imágenes de contenedores individuales más pequeños y el software total dentro de un entorno (ver también: Información sobre contenedores: ¿Puede la buena higiene de la cadena de suministro mitigar los tamaños de las imágenes base? ). Es importante recordar que la superficie de ataque se expande por varias razones principales:


  1. Conveniencia. Particularmente, con el código abierto, es fácil elegir una nueva pieza de software o biblioteca para reducir el código que tiene que escribir usted mismo. Cada nueva pieza de software utilizada se suma a la superficie de ataque.

  2. Falta de cordinacion. Es fácil ignorar lo que están usando sus colegas y simplemente tomar la última versión de alguna biblioteca o paquete. Cada nueva versión de la misma biblioteca o paquete se suma a la superficie de ataque.

  3. Calidad. Es difícil investigar qué tan bien mantenida está una biblioteca. Es difícil saber hasta qué punto sus creadores se preocupan por la seguridad. Es difícil saber si escanean el código en busca de problemas de seguridad. Las bibliotecas de baja calidad o sin mantenimiento aumentan la superficie de ataque.


Red Hat Enterprise Linux proporciona bibliotecas de alta calidad mantenidas por personas preocupadas por la seguridad. Para facilitar el consumo de estas bibliotecas en contenedores, Red Hat introdujo Red Hat Universal Base Image (UBI).


Presentamos la imagen micro de UBI


Estandarizar en UBI siempre ha sido una excelente manera de reducir la superficie de ataque dentro de un entorno en contenedores (consulte también: Los contenedores también necesitan entornos operativos estándar ). Ahora, con Red Hat Enterprise Linux (RHEL) 8.4 , anunciamos UBI Micro para ayudar a reducir la superficie de ataque de aplicaciones individuales.


UBI Micro se construye exactamente a partir de los mismos paquetes que UBI Standard, Minimal e Init, pero minimiza el tamaño de la imagen individual al excluir un administrador de paquetes y todas sus dependencias, que normalmente se incluyen en una imagen de contenedor.


La construcción de una imagen de contenedor sin las herramientas de empaquetado de la distribución de Linux a veces se denomina sin distribución. Según este criterio, UBI se puede llamar una imagen de contenedor sin distribución creada con contenido RHEL que se puede distribuir libremente para cualquier caso de uso que desee. Esto reduce la superficie de ataque de cualquier imagen individual construida sobre ella, además de limitar la cantidad total de software dentro de un entorno cuando se estandariza en RHEL (incluido OpenShift construido en RHEL) y UBI (una glibc, una openssl, etc.). Además, los archivos binarios y bibliotecas de UBI provienen directamente de RHEL. Eso significa que UBI tiene el mismo equipo de respuesta de seguridad, el mismo refuerzo de seguridad y los mismos metadatos de seguridad.


UBI Micro es una imagen de contenedor de alta calidad con una superficie de ataque minimizada y es ideal para algunas aplicaciones muy minimizadas, incluso si usa UBI Standard, Minimal o Init para otras aplicaciones. Ahora, veamos cómo funciona en acción.


Uso de UBI Minimal con Buildah


Demostremos cómo construir sobre la imagen de UBI Micro usando Buidlah. Los siguientes comandos extraerán la imagen, la montarán, instalarán Apache y confirmarán la imagen en el contenedor / caché de almacenamiento local:



Ahora, mira qué tan grande es:

podman images | grep ubi-micro-httpdOutput:localhost/ubi-micro-httpd                                     latest                                                       7c557e7fbe9f  22 minutes ago  151 MB

Eso es todo, es así de simple. Usando la versión de Buildah incluida en RHEL8, es así de fácil construir sobre UBI Micro como imagen base. Esta imagen de Apache pesa 156 MB en disco y 55 MB en el cable. No está mal en comparación con la imagen estándar Apache httpd 2.4 de Red Hat, que tiene 403 MB en el disco y 147 MB ​​a través del cable.


Para obtener más información técnica, consulte la guía Creación, ejecución y administración de contenedores en la documentación oficial de RHEL 8 .


Fuente: Blog de Red Hat.

6 vistas0 comentarios