plusserver-Blog-Container Sicherheit
Blog

|

31.05.2023

7 Tipps zur Container-Sicherheit

Moderne IT setzt zunehmend auf Container. Wir haben Tipps, wie sich diese absichern lassen.

Was ist Container-Sicherheit?

Bei der Container-Sicherheit in der IT geht es darum, Anwendungen, die in Containern ausgeführt werden, zu schützen und vor potenziellen Bedrohungen und Schwachstellen zu bewahren. IT-Container sind leichtgewichtige, isolierte Anwendungsumgebungen. Sie ermöglichen die konsistente Bereitstellung von Anwendungen und deren Abhängigkeiten über verschiedene Plattformen hinweg.

Ihre Isolation bietet ein gewisses Maß an Sicherheit, da sie eine Trennung zwischen den Anwendungen und dem zugrundeliegenden Betriebssystem gewährleistet. Dennoch gibt es Herausforderungen bei der Container-Sicherheit, wie zum Beispiel:

  1. Sind genutzte Images sicher?
    Um Container schnell zu erstellen, sind Images ein gängiges Hilfsmittel. Sie können jedoch potenziell Schwachstellen enthalten.
  2. Besteht ein Laufzeitschutz?
    Um die Ausführung der Anwendung im Container zu überwachen, dienen Sicherheitsrichtlinien, eingeschränkte Berechtigungen etc.
  3. Ist das Netzwerk sicher?
    Wie allgemein in der IT gilt es, auch die Netzwerkschnittstellen von Containern zu schützen, etwa durch Firewalls, Segmentierung oder Verschlüsselung.
  4. Und was ist mit Kubernetes?
    Auch Orchestrierungstools wie Kubernetes erfordern eine Absicherung. Zugriffskontrollen und regelmäßige Updates gehören dazu.

Im Folgenden haben wir sieben Tipps für Sie aufgelistet, mit denen Sie die oben genannten und weitere Fragen rund um Container-Sicherheit in Angriff nehmen können.

7 Tipps Container Sicherheit plusserver

Mit den folgenden sieben Tipps sorgen Sie für mehr Container-Sicherheit:

Tipp 1: Ein Zero-Trust-Ansatz ist die notwendige Voraussetzung für vernünftige Container-Sicherheit.

Der Datenverkehr, der sich zwischen den einzelnen Servern ergibt, ist im Container-Umfeld deutlich umfangreicher als bei herkömmlichen Anwendungen. Die Überwachung und Auswertung des Traffics ist daher etwas schwieriger. Unternehmen, die Cloud-Container-Dienste nutzen, sollten daher Zero-Trust-Sicherheit in ihre Architektur einplanen und so die Angriffsfläche für Hacker möglichst gering halten. Ein Zero-Trust-Ansatz stellt sicher, dass sämtliche Machine-to-Machine-Transaktionen authentifiziert und privat sind. Zero-Trust-Sicherheit ersetzt dabei implizites Vertrauen, das auf dem Netzwerkstandort eines Geräts oder der Authentifizierung eines Nutzers in einem bekannten Netzwerk basiert, durch eine explizite Verifizierung für den Zugriff auf einen Service, ein Gerät oder ein Daten-Repository. Dabei sollten die Sicherheitsrichtlinien, Benutzer- und Gruppen-IDs sowie Zertifikate portabel sein. Das gilt umso mehr für eine komplexe Multi-Cloud-Infrastruktur.

Tipp 2: Monitoring-Tools helfen beim Erkennen von mehrstufigen, komplexeren Angriffen.

Wichtig ist vor allem der Schutz der Kubernetes-Container selbst. Diese können entweder von außen angegriffen werden oder (ungewollt) durch Phishing-Attacken von innen. Angreifer agieren oftmals über Schwachstellen im Netzwerk oder in den Services selbst. Das Tückische an vielen Angriffen auf Container-Infrastrukturen ist, dass sich die Malware schon länger dort befindet, bevor es zur Auslösung kommt. So nutzen beispielsweise vulnerable Bibliotheken und Pakete den Container zunächst aus. Sie lösen aber erst zu einem späteren Zeitpunkt eine Rechteerweiterung aus, um zusätzlichen Schaden zu verursachen und beispielsweise Datendiebstahl zu verüben. Moderne Kubernetes-Monitoring-Tools erkennen auch solche mehrstufigen Angriffe.

Tipp 3: Nutzen Sie nur vertrauenswürdige Images und überprüfen Sie das regelmäßig.

Container-Sicherheit fängt schon beim Onboarding, also in einem sehr frühen Stadium an. Installieren Sie daher Container nur aus Quellen, die Sie als vertrauenswürdig einstufen können und hosten Sie dazu bestenfalls eine eigens abgesicherte interne Docker-Registry wie GitLab oder nutzen Sie die Private Registry von plusserver.

Geben Sie in den Richtlinien vor, dass auch die Admins nur vorab gescannte und validierte Container-Images verwenden dürfen. Darüber hinaus sollten Sie die Images regelmäßig überprüfen und bei Auffälligkeiten isolieren.

Tipp 4: Implementieren Sie Machine Learning für bessere Erkennung von Anomalien.

Häufig finden bei Cyberangriffen im Container-Umfeld Privilegienerweiterungen und verdächtige Prozesse wie Port-Scans statt. Unternehmen sollten sich daher nicht nur auf eine herkömmliche Container Firewall verlassen, sondern den Schutz über einen zusätzlichen verhaltensbasierten Lernprozess mit zusätzlichem Machine Learning verbessern. Dieser erkennt, ob bestimmte Aktivitäten in der Vergangenheit regelmäßig erfolgt sind oder nicht. Solche lernenden Algorithmen und möglichst weitreichende Automatisierungsmaßnahmen können dazu beitragen, dass Administratoren auch in Zukunft das Katz-und-Maus-Spiel gegen die Cyberkriminalität gewinnen.

Tipp 5: Automatisieren Sie die Container-Sicherheit so weit wie möglich.

Die Komplexität von Container-Infrastrukturen generiert eine immense Datenmenge. Unter den Alerts befinden sich deshalb zuweilen Fehlalarme. Daher ist es empfehlenswert, mit Hilfe von Wahrscheinlichkeiten zu arbeiten und möglichst viele Entscheidungen der Technik zu überlassen.

Erhöhen Sie so nach und nach den Automatisierungsgrad im Hinblick auf Ihre Container-Sicherheit und arbeiten Sie mit einer zweistufigen Lösung mit unterschiedlichen Sicherheitsansätzen. Im Zweifelsfall kann eine  automatisierte und regelbasiert arbeitende Sicherheitslösung im richtigen Moment die entsprechenden Teile des Systems abriegeln, um Schäden zu verhindern oder zu minimieren.

Einen solchen Grad an Automatisierung bring zum Beispiel die Workload Protection von plusserver, die Kunden bequem und günstig im As-a-Service-Modell beziehen können.

Tipp 6: Achten Sie gerade bei Open Source darauf, dass stets sämtliche Updates und Bugfixes installiert sind.

Open Source ist bei Containerisierung und Kubernetes Segen und Fluch zugleich. Denn aufgrund der quelloffenen Technologien werden Sicherheitslücken zwar von einer großen Community beobachtet und meist schnell gefixt. Doch zugleich ergibt sich daraus auch eine große Angriffsfläche, weil sich Cyberattacken aufgrund der großen Verbreitung für Angreifer besonders lohnen. Oberstes Ziel muss es daher sein, sämtliche Betriebssystem- und Kernel-Updates zeitnah zu installieren und auch hier gegebenenfalls mit automatisierten Rollout-Prozessen zu arbeiten.

Tipp 7: Eine integrierte Sicherheitslösung aus der Cloud ist oft besser als einzelne Open-Source-Tools.

Es gibt eine Vielzahl von Open-Source-Tools, die jeweils Teile der Container-Sicherheit abdecken können. Beispielsweise Istio als Service-Mesh, Grafeas für die Metadatenverwaltung und Anchore für die Überwachung der Dateisystemstruktur auf Sicherheitslücken. Diese Tools bieten zwar Schutz vor Cyberangriffen, decken aber immer nur einen bestimmten Bereich ab.

Eine integrierte Cloud-Lösung ist dagegen gerade für mittelständische Unternehmen meist die bessere Wahl, da sie auch tagesaktuellen Bedrohungsszenarien gerecht wird und angesichts überschaubarer Implementierungskosten wirtschaftlich sinnvoll ist.

Container-Sicherheit jetzt in Angriff nehmen

Sorgen Sie für einen umfassenden Schutz Ihrer Kubernetes-Container – schnell und einfach mit Workload Protection as a Service.

Über den Autor

Daniel Graßer verantwortet seit Juni 2022 als Senior Director of Security Services das Security Portfolio & Services sowie die dazugehörige Strategie bei plusserver. Das Leistungsportfolio umfasst neben hochstandardisierten Cloud-Produkten u. a. Themen wie Security as a Service, Anti-Ransomware-Strategien bis hin zum Betrieb von SOC-Leistungen.

Erfahren Sie mehr

Produkte

Cloud Security

Erreichen Sie Ihr Digitalisierungsziel mit der passenden Security-Strategie.
Produkt

Private Registry

Container Images und Helm Charts einfach speichern, verwalten und nutzen.
Produkt

Managed Kubernetes

Mit unserem Managed Kubernetes erstellen und orchestrieren Sie Kubernetes-Cluster im Handumdrehen.
Webinar

Ist Kubernetes die Zukunft der Infrastruktur? Ja, aber mit Sicherheit.

Erfahren Sie in der kostenfreien Aufzeichnung, wie Sie schnell und einfach mit K8s arbeiten und Ihre Daten dabei sicher bleiben.

Haben Sie noch Fragen?

Senden Sie mir einfach eine Nachricht mit Ihrem Anliegen und ich melde mich schnellstmöglich zurück.

Sebastian Latz

Sebastian Latz

Head of Presales

Ihre Anfrage

Icon plusforum

Sie haben eine Frage oder benötigen Hilfe zu einem Thema? Wir helfen Ihnen gerne dabei.

Sie können uns auch gerne jederzeit telefonisch erreichen:

Beratung: +49 2203 1045 3500
Support: +49 2203 1045 3600

Ihre Anfrage

Icon plusforum

Sie haben eine Frage oder benötigen Hilfe zu einem Thema? Wir helfen Ihnen gerne dabei.

Sie können uns auch gerne jederzeit telefonisch erreichen:

Beratung: +49 2203 1045 3500
Support: +49 2203 1045 3600

Ihre Anfrage

Icon plusforum

Sie haben eine Frage oder benötigen Hilfe zu einem Thema? Wir helfen Ihnen gerne dabei.

Sie können uns auch gerne jederzeit telefonisch erreichen:

Beratung: +49 2203 1045 3500
Support: +49 2203 1045 3600