Was ist Container-Sicherheit?
Bei der Container-Sicherheit in der IT geht es darum, Anwendungen, die in Containern ausgeführt werden, zu schützen und vor potenziellen Bedrohungen und Schwachstellen zu bewahren. IT-Container sind leichtgewichtige, isolierte Anwendungsumgebungen. Sie ermöglichen die konsistente Bereitstellung von Anwendungen und deren Abhängigkeiten über verschiedene Plattformen hinweg.
Ihre Isolation bietet ein gewisses Maß an Sicherheit, da sie eine Trennung zwischen den Anwendungen und dem zugrundeliegenden Betriebssystem gewährleistet. Dennoch gibt es Herausforderungen bei der Container-Sicherheit, wie zum Beispiel:
- Sind genutzte Images sicher?
Um Container schnell zu erstellen, sind Images ein gängiges Hilfsmittel. Sie können jedoch potenziell Schwachstellen enthalten. - Besteht ein Laufzeitschutz?
Um die Ausführung der Anwendung im Container zu überwachen, dienen Sicherheitsrichtlinien, eingeschränkte Berechtigungen etc. - Ist das Netzwerk sicher?
Wie allgemein in der IT gilt es, auch die Netzwerkschnittstellen von Containern zu schützen, etwa durch Firewalls, Segmentierung oder Verschlüsselung. - Und was ist mit Kubernetes?
Auch Orchestrierungstools wie Kubernetes erfordern eine Absicherung. Zugriffskontrollen und regelmäßige Updates gehören dazu.
Im Folgenden haben wir sieben Tipps für Sie aufgelistet, mit denen Sie die oben genannten und weitere Fragen rund um Container-Sicherheit in Angriff nehmen können.
Mit den folgenden sieben Tipps sorgen Sie für mehr Container-Sicherheit:
Tipp 1: Ein Zero-Trust-Ansatz ist die notwendige Voraussetzung für vernünftige Container-Sicherheit.
Der Datenverkehr, der sich zwischen den einzelnen Servern ergibt, ist im Container-Umfeld deutlich umfangreicher als bei herkömmlichen Anwendungen. Die Überwachung und Auswertung des Traffics ist daher etwas schwieriger. Unternehmen, die Cloud-Container-Dienste nutzen, sollten daher Zero-Trust-Sicherheit in ihre Architektur einplanen und so die Angriffsfläche für Hacker möglichst gering halten. Ein Zero-Trust-Ansatz stellt sicher, dass sämtliche Machine-to-Machine-Transaktionen authentifiziert und privat sind. Zero-Trust-Sicherheit ersetzt dabei implizites Vertrauen, das auf dem Netzwerkstandort eines Geräts oder der Authentifizierung eines Nutzers in einem bekannten Netzwerk basiert, durch eine explizite Verifizierung für den Zugriff auf einen Service, ein Gerät oder ein Daten-Repository. Dabei sollten die Sicherheitsrichtlinien, Benutzer- und Gruppen-IDs sowie Zertifikate portabel sein. Das gilt umso mehr für eine komplexe Multi-Cloud-Infrastruktur.
Tipp 2: Monitoring-Tools helfen beim Erkennen von mehrstufigen, komplexeren Angriffen.
Wichtig ist vor allem der Schutz der Kubernetes-Container selbst. Diese können entweder von außen angegriffen werden oder (ungewollt) durch Phishing-Attacken von innen. Angreifer agieren oftmals über Schwachstellen im Netzwerk oder in den Services selbst. Das Tückische an vielen Angriffen auf Container-Infrastrukturen ist, dass sich die Malware schon länger dort befindet, bevor es zur Auslösung kommt. So nutzen beispielsweise vulnerable Bibliotheken und Pakete den Container zunächst aus. Sie lösen aber erst zu einem späteren Zeitpunkt eine Rechteerweiterung aus, um zusätzlichen Schaden zu verursachen und beispielsweise Datendiebstahl zu verüben. Moderne Kubernetes-Monitoring-Tools erkennen auch solche mehrstufigen Angriffe.
Tipp 3: Nutzen Sie nur vertrauenswürdige Images und überprüfen Sie das regelmäßig.
Container-Sicherheit fängt schon beim Onboarding, also in einem sehr frühen Stadium an. Installieren Sie daher Container nur aus Quellen, die Sie als vertrauenswürdig einstufen können und hosten Sie dazu bestenfalls eine eigens abgesicherte interne Docker-Registry wie GitLab oder nutzen Sie die Private Registry von plusserver.
Geben Sie in den Richtlinien vor, dass auch die Admins nur vorab gescannte und validierte Container-Images verwenden dürfen. Darüber hinaus sollten Sie die Images regelmäßig überprüfen und bei Auffälligkeiten isolieren.
Tipp 4: Implementieren Sie Machine Learning für bessere Erkennung von Anomalien.
Tipp 5: Automatisieren Sie die Container-Sicherheit so weit wie möglich.
Die Komplexität von Container-Infrastrukturen generiert eine immense Datenmenge. Unter den Alerts befinden sich deshalb zuweilen Fehlalarme. Daher ist es empfehlenswert, mit Hilfe von Wahrscheinlichkeiten zu arbeiten und möglichst viele Entscheidungen der Technik zu überlassen.
Erhöhen Sie so nach und nach den Automatisierungsgrad im Hinblick auf Ihre Container-Sicherheit und arbeiten Sie mit einer zweistufigen Lösung mit unterschiedlichen Sicherheitsansätzen. Im Zweifelsfall kann eine automatisierte und regelbasiert arbeitende Sicherheitslösung im richtigen Moment die entsprechenden Teile des Systems abriegeln, um Schäden zu verhindern oder zu minimieren.
Einen solchen Grad an Automatisierung bring zum Beispiel die Workload Protection von plusserver, die Kunden bequem und günstig im As-a-Service-Modell beziehen können.
Tipp 6: Achten Sie gerade bei Open Source darauf, dass stets sämtliche Updates und Bugfixes installiert sind.
Tipp 7: Eine integrierte Sicherheitslösung aus der Cloud ist oft besser als einzelne Open-Source-Tools.
Es gibt eine Vielzahl von Open-Source-Tools, die jeweils Teile der Container-Sicherheit abdecken können. Beispielsweise Istio als Service-Mesh, Grafeas für die Metadatenverwaltung und Anchore für die Überwachung der Dateisystemstruktur auf Sicherheitslücken. Diese Tools bieten zwar Schutz vor Cyberangriffen, decken aber immer nur einen bestimmten Bereich ab.
Eine integrierte Cloud-Lösung ist dagegen gerade für mittelständische Unternehmen meist die bessere Wahl, da sie auch tagesaktuellen Bedrohungsszenarien gerecht wird und angesichts überschaubarer Implementierungskosten wirtschaftlich sinnvoll ist.
Container-Sicherheit jetzt in Angriff nehmen
Über den Autor
Erfahren Sie mehr
Produkte
Cloud Security
Produkt
Private Registry
Produkt
Managed Kubernetes
Webinar
Ist Kubernetes die Zukunft der Infrastruktur? Ja, aber mit Sicherheit.
Haben Sie noch Fragen?
Senden Sie mir einfach eine Nachricht mit Ihrem Anliegen und ich melde mich schnellstmöglich zurück.