Seccomp di Docker: Mengunci System Call untuk Mengurangi Area Serangan

Keamanan kontainer adalah prioritas utama dalam pengembangan dan penerapan aplikasi modern. Docker, sebagai platform kontainerisasi yang paling populer, menawarkan berbagai fitur keamanan untuk melindungi aplikasi Anda. Salah satu fitur yang sangat penting namun sering diabaikan adalah Seccomp (Secure Computing Mode).

Artikel ini akan membahas secara mendalam tentang Seccomp di Docker, bagaimana cara kerjanya, manfaatnya, dan bagaimana Anda dapat menggunakannya untuk mengamankan kontainer Anda dengan lebih efektif. Kita akan mengeksplorasi konsep dasar, konfigurasi, praktik terbaik, dan contoh implementasi untuk membantu Anda memahami dan menerapkan Seccomp dalam lingkungan Docker Anda.

Daftar Isi

1. Pengantar Seccomp
   • Apa itu Seccomp?
   • Mengapa Seccomp Penting untuk Keamanan Kontainer?
   • Bagaimana Seccomp Bekerja?
2. Seccomp di Docker: Konsep Dasar
   • Profil Seccomp Default Docker
   • Bagaimana Docker Menggunakan Seccomp?
   • Melihat Profil Seccomp Default
3. Konfigurasi Seccomp di Docker
   • Membuat Profil Seccomp Kustom
   • Menggunakan Profil Seccomp Kustom dengan Docker
   • Sintaks Profil Seccomp (JSON)
   • Contoh Profil Seccomp Kustom
4. Manfaat Menggunakan Seccomp di Docker
   • Mengurangi Area Serangan
   • Mencegah Eskalasi Hak Istimewa
   • Meningkatkan Keamanan Kontainer Secara Keseluruhan
5. Praktik Terbaik untuk Menggunakan Seccomp di Docker
   • Prinsip Least Privilege
   • Audit Profil Seccomp
   • Pengujian dan Validasi
   • Otomatisasi
6. Contoh Implementasi Seccomp
   • Kasus Penggunaan 1: Mengamankan Aplikasi Web
   • Kasus Penggunaan 2: Mengamankan Database
   • Kasus Penggunaan 3: Mengamankan CI/CD Pipeline
7. Seccomp vs. Kemampuan Linux (Linux Capabilities)
   • Perbedaan Utama
   • Kapan Menggunakan Seccomp vs. Kemampuan Linux?
8. Troubleshooting Seccomp
   • Masalah Umum dan Solusi
   • Cara Mendebug Profil Seccomp
9. Kesimpulan

1. Pengantar Seccomp

Apa itu Seccomp?

Seccomp (Secure Computing Mode) adalah fitur keamanan kernel Linux yang memungkinkan Anda membatasi panggilan sistem (system call) yang dapat dilakukan oleh sebuah proses. System call adalah antarmuka antara aplikasi dan kernel sistem operasi. Dengan membatasi system call yang diizinkan, Anda dapat mengurangi area serangan kontainer dan meningkatkan keamanannya.

Seccomp awalnya diperkenalkan pada kernel Linux versi 2.6.12 dan kemudian ditingkatkan dengan Seccomp-BPF (Berkley Packet Filter) pada versi 3.5. Seccomp-BPF memungkinkan pembuatan kebijakan yang lebih fleksibel dan granular untuk memfilter system call.

Mengapa Seccomp Penting untuk Keamanan Kontainer?

Kontainer berbagi kernel sistem operasi host. Jika sebuah kontainer berhasil dieksploitasi, penyerang mungkin dapat menggunakan celah keamanan untuk mengakses sumber daya host atau bahkan mengendalikan seluruh sistem. Seccomp memainkan peran penting dalam mengurangi risiko ini dengan cara:

• Membatasi Akses ke Kernel: Seccomp membatasi system call yang dapat dilakukan oleh proses di dalam kontainer, sehingga mengurangi kemungkinan penyerang mengeksploitasi kerentanan kernel.
• Mengurangi Area Serangan: Dengan hanya mengizinkan system call yang diperlukan oleh aplikasi, Anda secara signifikan mengurangi area serangan yang tersedia untuk penyerang.
• Mencegah Eskalasi Hak Istimewa: Seccomp dapat mencegah proses yang disusupi untuk melakukan panggilan sistem yang berbahaya, seperti yang digunakan untuk mendapatkan hak istimewa root.

Bagaimana Seccomp Bekerja?

Seccomp bekerja dengan cara memfilter panggilan sistem yang dilakukan oleh sebuah proses. Ketika sebuah proses mencoba melakukan panggilan sistem, Seccomp akan memeriksa apakah panggilan tersebut diizinkan oleh profil yang telah dikonfigurasi. Jika panggilan tersebut diizinkan, maka akan dieksekusi seperti biasa. Jika tidak diizinkan, Seccomp dapat melakukan salah satu dari tindakan berikut:

• SCMP_ACT_KILL: Membunuh proses.
• SCMP_ACT_TRAP: Mengirim sinyal SIGTRAP ke proses. Ini dapat digunakan untuk debugging atau logging.
• SCMP_ACT_ERRNO: Mengembalikan kode kesalahan ke proses.
• SCMP_ACT_TRACE: Mengizinkan panggilan sistem, tetapi juga memicu tracing (misalnya, menggunakan ptrace).
• SCMP_ACT_ALLOW: Mengizinkan panggilan sistem.

Dengan mengkonfigurasi profil Seccomp yang tepat, Anda dapat memastikan bahwa hanya panggilan sistem yang benar-benar diperlukan yang diizinkan, sehingga meningkatkan keamanan kontainer Anda.

2. Seccomp di Docker: Konsep Dasar

Profil Seccomp Default Docker

Docker menyediakan profil Seccomp default yang diterapkan ke semua kontainer secara otomatis, kecuali Anda secara eksplisit menonaktifkannya. Profil ini dirancang untuk memberikan tingkat keamanan dasar tanpa mengganggu fungsionalitas sebagian besar aplikasi. Profil default ini melarang sejumlah besar panggilan sistem yang dianggap berbahaya atau tidak perlu untuk operasi normal kontainer.

Profil default Docker secara aktif dipertahankan dan diperbarui oleh tim Docker untuk merespons ancaman keamanan baru dan evolusi praktik terbaik keamanan. Penting untuk memahami apa yang diblokir oleh profil default ini untuk memastikan bahwa aplikasi Anda tidak bergantung pada panggilan sistem yang dilarang.

Bagaimana Docker Menggunakan Seccomp?

Docker menggunakan Seccomp melalui library libseccomp, yang menyediakan antarmuka untuk berinteraksi dengan fitur Seccomp kernel Linux. Saat Anda menjalankan kontainer, Docker secara otomatis mengaktifkan Seccomp dan menerapkan profil yang ditentukan (default atau kustom) ke proses kontainer. Ini dilakukan di tingkat kernel, memastikan bahwa pembatasan diterapkan secara konsisten dan efektif.

Proses pengaktifan dan penerapan Seccomp oleh Docker transparan bagi aplikasi yang berjalan di dalam kontainer. Aplikasi tidak perlu secara eksplisit menyadari Seccomp; pembatasan diterapkan secara otomatis oleh Docker.

Melihat Profil Seccomp Default

Anda dapat melihat profil Seccomp default yang digunakan oleh Docker dengan perintah berikut:


docker run --rm --privileged alpine cat /seccomp/default.json


Perintah ini menjalankan kontainer Alpine Linux dengan hak istimewa (privileged) dan membaca isi file /seccomp/default.json, yang berisi definisi profil Seccomp default.

Profil ini adalah file JSON yang berisi daftar panggilan sistem yang diizinkan dan tindakan yang akan diambil jika panggilan sistem yang tidak diizinkan dicoba. Memeriksa profil default dapat memberikan wawasan tentang jenis panggilan sistem yang dianggap berpotensi berbahaya dan membantu Anda dalam membuat profil kustom yang lebih sesuai dengan kebutuhan aplikasi Anda.

3. Konfigurasi Seccomp di Docker

Membuat Profil Seccomp Kustom

Profil Seccomp kustom memungkinkan Anda untuk menentukan secara tepat panggilan sistem mana yang diizinkan atau dilarang untuk kontainer Anda. Ini memberikan kontrol yang lebih besar atas keamanan kontainer dibandingkan dengan menggunakan profil default.

Untuk membuat profil Seccomp kustom, Anda perlu membuat file JSON yang mendefinisikan kebijakan Anda. File JSON ini berisi daftar panggilan sistem dan tindakan yang akan diambil jika panggilan sistem tersebut dicoba.

Menggunakan Profil Seccomp Kustom dengan Docker

Anda dapat menggunakan profil Seccomp kustom dengan Docker menggunakan opsi --security-opt seccomp= saat menjalankan kontainer. Contoh:


docker run --security-opt seccomp=./my_seccomp_profile.json my_image


Perintah ini menjalankan kontainer dari image my_image dan menerapkan profil Seccomp kustom yang didefinisikan dalam file my_seccomp_profile.json.

Anda juga dapat menonaktifkan Seccomp sepenuhnya dengan menggunakan opsi --security-opt seccomp=unconfined. Namun, ini tidak disarankan kecuali jika Anda benar-benar yakin bahwa aplikasi Anda membutuhkan akses tanpa batasan ke semua panggilan sistem.

Sintaks Profil Seccomp (JSON)

Profil Seccomp adalah file JSON yang berisi objek dengan properti berikut:

• defaultAction: Tindakan default yang akan diambil jika panggilan sistem tidak secara eksplisit tercantum dalam profil. Nilai yang mungkin adalah SCMP_ACT_ALLOW, SCMP_ACT_KILL, SCMP_ACT_TRAP, SCMP_ACT_ERRNO, dan SCMP_ACT_TRACE.
• architectures (opsional): Daftar arsitektur sistem operasi yang berlaku untuk profil ini.
• syscalls: Daftar objek yang mendefinisikan aturan untuk panggilan sistem tertentu. Setiap objek memiliki properti berikut:
  • name: Nama panggilan sistem.
  • action: Tindakan yang akan diambil untuk panggilan sistem ini.
  • args (opsional): Daftar argumen yang harus dipenuhi agar aturan ini berlaku. Setiap argumen memiliki properti berikut:
    • index: Indeks argumen.
    • value: Nilai yang harus cocok dengan argumen.
    • op: Operator perbandingan. Nilai yang mungkin adalah SCMP_CMP_EQ (sama dengan), SCMP_CMP_NE (tidak sama dengan), SCMP_CMP_LT (kurang dari), SCMP_CMP_GT (lebih besar dari), SCMP_CMP_LE (kurang dari atau sama dengan), SCMP_CMP_GE (lebih besar dari atau sama dengan), SCMP_CMP_MASKED_EQ (bitwise AND sama dengan).

Contoh Profil Seccomp Kustom

Berikut adalah contoh profil Seccomp kustom yang hanya mengizinkan panggilan sistem read, write, dan exit:

  
  {
    "defaultAction": "SCMP_ACT_KILL",
    "syscalls": [
      {
        "name": "read",
        "action": "SCMP_ACT_ALLOW"
      },
      {
        "name": "write",
        "action": "SCMP_ACT_ALLOW"
      },
      {
        "name": "exit",
        "action": "SCMP_ACT_ALLOW"
      },
      {
        "name": "exit_group",
        "action": "SCMP_ACT_ALLOW"
      }
    ]
  }
  
  

Profil ini menetapkan SCMP_ACT_KILL sebagai tindakan default, yang berarti bahwa setiap panggilan sistem yang tidak secara eksplisit tercantum dalam daftar syscalls akan menyebabkan proses dibunuh. Kemudian, profil ini secara eksplisit mengizinkan panggilan sistem read, write, exit, dan exit_group.

Contoh lain yang lebih kompleks dapat menyertakan kondisi berdasarkan argumen panggilan sistem. Misalnya, Anda dapat mengizinkan panggilan sistem open hanya jika file yang dibuka berada di direktori tertentu.

4. Manfaat Menggunakan Seccomp di Docker

Mengurangi Area Serangan

Manfaat utama menggunakan Seccomp adalah pengurangan area serangan kontainer Anda. Dengan membatasi panggilan sistem yang dapat dilakukan oleh proses di dalam kontainer, Anda membatasi kemampuan penyerang untuk mengeksploitasi kerentanan sistem.

Area serangan adalah jumlah total cara seorang penyerang dapat berinteraksi dengan sistem dan berpotensi mengeksploitasi kerentanan. Semakin kecil area serangan, semakin sulit bagi penyerang untuk berhasil menyerang sistem.

Mencegah Eskalasi Hak Istimewa

Seccomp dapat membantu mencegah eskalasi hak istimewa di dalam kontainer. Eskalasi hak istimewa terjadi ketika seorang penyerang berhasil mendapatkan hak istimewa yang lebih tinggi daripada yang seharusnya mereka miliki. Ini dapat memungkinkan penyerang untuk mengakses sumber daya sistem yang sensitif atau bahkan mengendalikan seluruh sistem.

Dengan melarang panggilan sistem yang dapat digunakan untuk melakukan eskalasi hak istimewa, Seccomp dapat membantu melindungi sistem Anda dari serangan semacam itu.

Meningkatkan Keamanan Kontainer Secara Keseluruhan

Secara keseluruhan, Seccomp merupakan alat yang berharga untuk meningkatkan keamanan kontainer Anda. Dengan membatasi akses ke kernel sistem operasi, Anda dapat mengurangi risiko eksploitasi kerentanan, mencegah eskalasi hak istimewa, dan mengurangi area serangan. Ini menghasilkan lingkungan yang lebih aman dan terisolasi untuk aplikasi Anda.

Seccomp harus dianggap sebagai bagian penting dari strategi keamanan kontainer Anda, bersama dengan teknik keamanan lainnya seperti kontrol akses berbasis peran (RBAC), pemindaian kerentanan, dan praktik keamanan pengkodean yang baik.

5. Praktik Terbaik untuk Menggunakan Seccomp di Docker

Prinsip Least Privilege

Saat membuat profil Seccomp, penting untuk mengikuti prinsip least privilege. Prinsip ini menyatakan bahwa sebuah proses hanya boleh memiliki akses ke sumber daya yang benar-benar dibutuhkan untuk menjalankan fungsinya. Dalam konteks Seccomp, ini berarti bahwa Anda hanya boleh mengizinkan panggilan sistem yang benar-benar diperlukan oleh aplikasi Anda.

Mulai dengan profil yang sangat ketat yang hanya mengizinkan panggilan sistem yang paling dasar, dan kemudian secara bertahap tambahkan panggilan sistem tambahan sesuai kebutuhan. Uji aplikasi Anda secara menyeluruh setelah setiap perubahan untuk memastikan bahwa ia terus berfungsi dengan benar.

Audit Profil Seccomp

Profil Seccomp Anda harus diaudit secara teratur untuk memastikan bahwa mereka masih efektif dan relevan. Seiring dengan evolusi aplikasi Anda, ia mungkin membutuhkan akses ke panggilan sistem baru. Demikian pula, kerentanan baru mungkin ditemukan yang mengharuskan Anda untuk membatasi akses ke panggilan sistem tertentu.

Pertimbangkan untuk menggunakan alat otomatisasi untuk membantu Anda mengaudit profil Seccomp Anda. Alat-alat ini dapat membantu Anda mengidentifikasi panggilan sistem yang tidak digunakan atau berpotensi berbahaya.

Pengujian dan Validasi

Penting untuk menguji dan memvalidasi profil Seccomp Anda secara menyeluruh sebelum menerapkannya ke lingkungan produksi. Ini akan membantu Anda memastikan bahwa aplikasi Anda terus berfungsi dengan benar dan bahwa Anda tidak secara tidak sengaja memblokir panggilan sistem yang diperlukan.

Pertimbangkan untuk menggunakan pengujian unit, pengujian integrasi, dan pengujian penetrasi untuk menguji profil Seccomp Anda. Pengujian unit dapat membantu Anda memastikan bahwa setiap komponen aplikasi Anda berfungsi dengan benar. Pengujian integrasi dapat membantu Anda memastikan bahwa semua komponen aplikasi Anda bekerja sama dengan benar. Pengujian penetrasi dapat membantu Anda mengidentifikasi kerentanan keamanan dalam aplikasi Anda.

Otomatisasi

Mengotomatiskan proses pembuatan, pengujian, dan penerapan profil Seccomp dapat membantu Anda meningkatkan efisiensi dan mengurangi risiko kesalahan manusia. Pertimbangkan untuk menggunakan alat otomatisasi seperti Ansible, Chef, atau Puppet untuk mengelola profil Seccomp Anda.

Anda juga dapat menggunakan alat otomatisasi untuk memantau penggunaan panggilan sistem oleh aplikasi Anda dan secara otomatis menghasilkan profil Seccomp berdasarkan data tersebut.

6. Contoh Implementasi Seccomp

Kasus Penggunaan 1: Mengamankan Aplikasi Web

Aplikasi web sering kali menjadi target serangan. Anda dapat menggunakan Seccomp untuk mengamankan aplikasi web dengan membatasi panggilan sistem yang dapat dilakukan oleh proses server web. Misalnya, Anda dapat melarang panggilan sistem yang digunakan untuk mengakses sistem file atau menjalankan perintah sistem.

Profil Seccomp untuk aplikasi web harus mencakup panggilan sistem yang diperlukan untuk melayani halaman web, memproses permintaan pengguna, dan berinteraksi dengan database. Namun, harus melarang panggilan sistem yang tidak perlu yang dapat digunakan untuk mengeksploitasi kerentanan, seperti panggilan sistem untuk menjalankan perintah sistem atau mengakses file sistem sensitif.

Kasus Penggunaan 2: Mengamankan Database

Database adalah target lain yang umum untuk serangan. Anda dapat menggunakan Seccomp untuk mengamankan database dengan membatasi panggilan sistem yang dapat dilakukan oleh proses server database. Misalnya, Anda dapat melarang panggilan sistem yang digunakan untuk mengakses sistem file atau menjalankan perintah sistem.

Profil Seccomp untuk database harus mencakup panggilan sistem yang diperlukan untuk melayani permintaan database, mengelola koneksi, dan menulis ke disk. Namun, harus melarang panggilan sistem yang tidak perlu yang dapat digunakan untuk mengeksploitasi kerentanan, seperti panggilan sistem untuk membaca file sistem sensitif atau menjalankan perintah sistem dengan hak istimewa root.

Kasus Penggunaan 3: Mengamankan CI/CD Pipeline

CI/CD pipeline sering kali melibatkan menjalankan kode yang tidak dipercaya, seperti kode dari pull request. Anda dapat menggunakan Seccomp untuk mengamankan CI/CD pipeline dengan membatasi panggilan sistem yang dapat dilakukan oleh proses yang menjalankan kode yang tidak dipercaya. Misalnya, Anda dapat melarang panggilan sistem yang digunakan untuk mengakses jaringan atau memodifikasi sistem file.

Profil Seccomp untuk CI/CD pipeline harus mencakup panggilan sistem yang diperlukan untuk membangun, menguji, dan menerapkan kode. Namun, harus melarang panggilan sistem yang tidak perlu yang dapat digunakan untuk membahayakan sistem atau mengakses informasi sensitif.

7. Seccomp vs. Kemampuan Linux (Linux Capabilities)

Perbedaan Utama

Baik Seccomp maupun Kemampuan Linux adalah fitur keamanan yang membantu membatasi hak istimewa yang dimiliki oleh proses. Namun, mereka bekerja dengan cara yang berbeda.

• Kemampuan Linux: Memecah hak istimewa root menjadi unit yang lebih kecil yang disebut “kemampuan”. Sebuah proses dapat diberikan subset dari kemampuan ini, sehingga memungkinkan untuk melakukan tugas-tugas tertentu yang memerlukan hak istimewa root tanpa memberikan akses penuh ke semua hak istimewa root.
• Seccomp: Membatasi panggilan sistem yang dapat dilakukan oleh sebuah proses. Ini membatasi akses proses ke kernel sistem operasi, sehingga mengurangi area serangan.

Singkatnya, Kemampuan Linux membatasi apa yang dapat dilakukan oleh proses dengan hak istimewa, sedangkan Seccomp membatasi bagaimana proses dapat berinteraksi dengan kernel.

Kapan Menggunakan Seccomp vs. Kemampuan Linux?

Kedua fitur ini dapat digunakan bersama-sama untuk memberikan lapisan keamanan yang lebih komprehensif. Berikut adalah beberapa panduan:

• Gunakan Kemampuan Linux jika: Anda perlu memberikan proses kemampuan untuk melakukan tugas-tugas tertentu yang memerlukan hak istimewa root, tetapi Anda ingin membatasi cakupan hak istimewa tersebut.
• Gunakan Seccomp jika: Anda ingin membatasi akses proses ke kernel sistem operasi untuk mengurangi area serangan dan mencegah eskalasi hak istimewa.
• Gunakan keduanya jika: Anda ingin memberikan proses kemampuan yang diperlukan untuk melakukan tugasnya sambil juga membatasi aksesnya ke kernel untuk meningkatkan keamanan secara keseluruhan.

Misalnya, Anda mungkin memberikan kemampuan CAP_NET_RAW ke proses yang perlu membuka soket mentah, tetapi juga menerapkan profil Seccomp yang melarang panggilan sistem yang dapat digunakan untuk mengeksploitasi kerentanan jaringan.

8. Troubleshooting Seccomp

Masalah Umum dan Solusi

Mengkonfigurasi Seccomp dengan benar bisa jadi rumit, dan beberapa masalah umum dapat terjadi:

• Aplikasi gagal berfungsi: Ini biasanya disebabkan oleh profil Seccomp yang terlalu ketat dan memblokir panggilan sistem yang dibutuhkan oleh aplikasi. Solusinya adalah dengan mengidentifikasi panggilan sistem yang hilang dan menambahkannya ke profil.
• Pesan kesalahan “Operation not permitted”: Pesan ini menunjukkan bahwa sebuah proses mencoba melakukan panggilan sistem yang dilarang oleh profil Seccomp. Periksa profil Seccomp dan pastikan bahwa panggilan sistem yang diperlukan diizinkan.
• Performa aplikasi menurun: Profil Seccomp yang kompleks dengan banyak aturan dapat memengaruhi performa aplikasi. Coba sederhanakan profil Seccomp dan hanya izinkan panggilan sistem yang benar-benar diperlukan.

Cara Mendebug Profil Seccomp

Debugging profil Seccomp bisa jadi sulit, tetapi ada beberapa alat yang dapat membantu:

• strace: Alat ini dapat digunakan untuk melacak panggilan sistem yang dilakukan oleh sebuah proses. Ini dapat membantu Anda mengidentifikasi panggilan sistem yang diblokir oleh profil Seccomp.
• auditd: Daemon audit Linux dapat dikonfigurasi untuk mencatat semua panggilan sistem yang diblokir oleh Seccomp. Ini dapat memberikan informasi yang lebih rinci tentang mengapa panggilan sistem tertentu diblokir.
• Mode TRACE Seccomp: Menggunakan SCMP_ACT_TRACE untuk tindakan default atau panggilan sistem tertentu akan memungkinkan Anda untuk melacak panggilan sistem yang diblokir tanpa membunuh proses. Ini memungkinkan Anda untuk mengumpulkan informasi tentang panggilan sistem yang dibutuhkan oleh aplikasi Anda.

Saat mendebug profil Seccomp, mulailah dengan profil yang sangat permisif dan secara bertahap membuatnya lebih ketat. Uji aplikasi Anda secara menyeluruh setelah setiap perubahan untuk memastikan bahwa ia terus berfungsi dengan benar.

9. Kesimpulan

Seccomp adalah fitur keamanan kernel Linux yang kuat yang dapat digunakan untuk mengamankan kontainer Docker Anda. Dengan membatasi panggilan sistem yang dapat dilakukan oleh proses di dalam kontainer, Anda dapat mengurangi area serangan, mencegah eskalasi hak istimewa, dan meningkatkan keamanan kontainer secara keseluruhan.

Konfigurasikan Seccomp dengan benar, mulailah dengan profil yang ketat, uji dan validasi profil Anda secara menyeluruh, dan pertimbangkan untuk menggunakan alat otomatisasi untuk mengelola profil Seccomp Anda. Dengan mengikuti praktik terbaik ini, Anda dapat memastikan bahwa Anda menggunakan Seccomp secara efektif untuk mengamankan kontainer Docker Anda.

Jangan lupakan bahwa keamanan adalah proses berkelanjutan. Anda harus terus memantau dan memperbarui profil Seccomp Anda untuk merespons ancaman keamanan baru dan evolusi praktik terbaik keamanan.