Differences

This shows you the differences between two versions of the page.

--- guia_rapida_de_docker_swarm [2021/06/06 01:20] – [Secrets en Docker Swarm] busindre
+++ guia_rapida_de_docker_swarm [2021/06/06 02:14] (current) – busindre
@@ Line 93: / Line 93: @@
   * Llave privada rait de la CA del clúster se encuentra en el registro Raft.
-El certificado CA es el mismo en todos los nodos, mientras que los certificados individuales de cada nodo tienen la misma firma de la CA. Es decir, swarm-root-ca.crt y swarm-node.crt tienen la misma firma ya que han sido firmados por el nodo manager elegido en el momento de inicialización del swarm. Cuando se usa el bloqueo de un enjambre Docker, lo que se hace es cifrar el fichero swarm-node.key (Llave TLS y llave DEK), obligando por tanto a usar un arranque manual donde se introduzca la "llave/passphrase" en cada inicio del clúster para desbloquearlo y que pueda funcionar ([[#bloquear_el_entorno_swarm_autolockcifrado_de_llaves_privada|leer]]).
+El certificado CA es el mismo en todos los nodos, mientras que los certificados individuales de cada nodo tienen la misma firma de la CA. Es decir, swarm-root-ca.crt y swarm-node.crt tienen la misma firma ya que han sido firmados por el nodo manager elegido en el momento de inicialización del swarm. Cuando se usa el bloqueo de un enjambre Docker, lo que se hace es cifrar el fichero swarm-node.key (Llave TLS y llave DEK), obligando por tanto a usar un arranque manual donde se introduzca la "llave/passphrase" en cada inicio del clúster para desbloquearlo y que pueda funcionar. Es una medida de seguridad orientada a impedir males mayores si alguien indeseable accede al sistema de ficheros de algún nodo ([[#bloquear_el_entorno_swarm_autolockcifrado_de_llaves_privada|leer]]).
 **Desplegar un servicio (Replicas / Global)**
@@ Line 517: / Line 517: @@
 Las configuraciones de servicio permiten almacenar información no sensible, normalmente archivos de configuración, fuera de la imagen de un servicio o de los contenedores en ejecución. Esto permite mantener imágenes genérica, sin la necesidad de bind-mount o el uso de variables de entorno. Estos ficheros de configuración pueden usarse como plantillas para que una vez arranque el contenedor de un servicio, la configuración se genere con los valores deseados mediante variables.
-Las configuraciones operan de manera similar a los secretos, excepto que no están encriptadas cuando están en reposo y se montan directamente en el sistema de archivos del contenedor sin el uso de discos RAM. Las configuraciones pueden ser añadidas o eliminadas de un servicio en cualquier momento, y los servicios pueden compartir una configuración. Incluso se pueden usar "configs" con variables de entorno o etiquetas, para crear plantillas que ofrezcan más flexibilidad. Los valores de configuración pueden ser cadenas genéricas o contenido binario (de hasta 500 kb de tamaño).
+Las configuraciones operan de manera similar a los secretos, excepto que no están cifradas cuando están en reposo y se montan directamente en el sistema de archivos del contenedor sin el uso de discos RAM. Las configuraciones pueden ser añadidas o eliminadas de un servicio en cualquier momento, y los servicios pueden compartir una configuración. Incluso se pueden usar "configs" con variables de entorno o etiquetas, para crear plantillas que ofrezcan más flexibilidad. Los valores de configuración pueden ser cadenas genéricas o contenido binario (de hasta 500 kb de tamaño).
 **Cómo gestiona Docker Swarm las configuraciones**.
@@ Line 972: / Line 972: @@
 Si no se tiene claro qué es lo que pasa al inicializar un enjambre docker se recomienda leer la sección "[[#crear_un_entorno_swarm|Entendiendo qué pasa internamente al iniciallizar un enjambre Docker]]"
-El almacén completo de raft como sabemos es el mismo en todos los nodos gestores, se propaga a todos los gestores encriptado sólo a través de mTLS. Cada nodo gestor debe tener una copia idéntica de los registros, que se encuentra en la siguiente ruta /var/lib/docker/swarm/raft/. Estos registros están cifrados, ya que almacenan datos sensibles como los secretos de Docker utilizados por los servicios que se ejecutan en el clúster de Swarm.
+El almacén completo de raft como sabemos es el mismo en todos los nodos gestores, se propaga a todos los gestores cifrado únicamente a través de mTLS. Cada nodo gestor debe tener una copia idéntica de los registros, que se encuentra en la siguiente ruta /var/lib/docker/swarm/raft/. Estos registros están cifrados, ya que almacenan datos sensibles como los secretos de Docker utilizados por los servicios que se ejecutan en el clúster de Swarm.
 Las llaves TLS/DEK están en la ruta /var/lib/docker/swarm/certificates/swarm-node.key.
@@ Line 998: / Line 998: @@
 **Manager unlock key**
-  * Uso: Cifra las llaves DEK y TLS (actúa como una KEK, o clave de encriptación).
+  * Uso: Cifra las llaves DEK y TLS (actúa como una KEK, o clave de cifrado).
   * No es única por nodo gestor: la comparten todos los gestores del clúster.
   * Se almacena en el resgitro Raft (así se propaga a todos los gestores).
   * Se genera cuando el clúster se pone en autolock, o cuando la llave de desbloqueo se rota.
-  * Cifrado: Como el resto del registro Raft, al enviarse se usa TLS para cifrar la comunicación y vía Raft DEK cuando está en reposo sobre el sistema de ficheros.
+  * Cifrado: Como el resto del registro Raft, al enviarse se usa TLS para cifrar la comunicación y vía DEK cuando está en reposo sobre el sistema de ficheros.
   * Se puede rotar a través de la API.
   * Se elimina cuando se desactiva el bloqueo automático.
-Fichero swarm-node.key sin autolock
+Fichero swarm-node.key sin autolock.
 <code swarm-node.key NO cifrado>
 -----BEGIN PRIVATE KEY-----
@@ Line 1017: / Line 1017: @@
 -----END PRIVATE KEY-----</code>
-Fichero swarm-node.key con autolock
+Fichero swarm-node.key con autolock.
 <code swarm-node.key cifrado>
 -----BEGIN ENCRYPTED PRIVATE KEY-----
@@ Line 1030: / Line 1030: @@
 -----END ENCRYPTED PRIVATE KEY-----</code>
+Los registros de Raft utilizados por los gestores de enjambres están cifrados en el disco por defecto. Si la llave está accesible desde el sistema de ficheros, se puede acceder a los datos del registro Raft. El bloqueo lo que hace es cifrar dicha llave y por lo tanto exige descifrarla en cada inicio del enjambre o al reiniciar nodos manager. Esto significa que si uno de los nodos gestores ha sido comprometido a nivel de sistema de fichero y no uso autoblock, es decir, no tiene su fichero swarm-node.key cifrado. Entonces es posible descifrar y leer los registros de Raft para obtener los secretos de Docker, entre otra información sensible.
-Esto significa que si uno de los nodos gestores ha sido comprometido, entonces es posible descifrar y leer los registros de Raft para obtener los secretos de Docker entre la otra información sensible.
+Si el atacante tiene acceso a root, lógicamente siempre podrá consultar lo que quiera, desde los secretos a las llaves privadas, independientemente de la configuración autoblock. El bloqueo tiene como finalidad defenderse de accesos al sistema de ficheros, por ejemplo mediante a un acceso a backups/snapshots del disco.
-Los registros de Raft utilizados por los gestores de enjambres están cifrados en el disco por defecto. Este cifrado en reposo protege la configuración y los datos de los atacantes que acceden a los registros cifrados de Raft. Una de las razones por las que se introdujo esta función fue para apoyar la función de secretos de Docker. Pero si la llave está accesible desde el sistema de ficheros, si se acceder a ella, se puede acceder a los datos de Raft. El bloqueo lo que hace es cifrar dicha llave y por lo tanto exige descifrarla en cada inicio del enjambre.
 <code bash>
-# Incializar un entorno swarm bloqueando el entorno. (cifrando las llaves privadas).
+# Incializar un entorno swarm bloqueando el entorno. (cifrando las llaves privadas TLS y DEK de swarm-node.key).
 docker swarm init --autolock
@@ Line 1042: / Line 1041: @@
 docker swarm update --autolock=true
-Mostrar la key (lógicamente solo funciona cuando esté el bloqueo activado pero el entorno está desactivado).
+Mostrar la Manager unlock key (lógicamente solo funciona cuando esté el bloqueo activado pero el entorno está desactivado).
 # docker swarm unlock-key
@@ Line 1056: / Line 1055: @@
 # Rota las llaves de bloqueo.
 docker swarm unlock-key --rotate
-# Rota la llave CA del clúster. Todo eso conlleva cambiar los certificados, llaves de los nodos y por supuesto nuevos tokens.
+# Rota la llave CA del clúster. No está directamente relacionado con el tema de unlock, pero obliga a cambiar los certificados, llaves de los nodos y por supuesto se generan nuevos tokens.
 docker swarm ca --rotate
 # Desactiva el bloqueo.
 docker swarm update --autolock=false</code>
+Si se quiere realizar un volcado del registro Raft puede usarse swarm-rafttool (swamkit): https://github.com/docker/swarmkit