Vertriebliche Beratung
Support
Vertriebliche Beratung:
+49 2203 1045 3500
Support:
+49 2203 1045 3600
plusserver-Blog-Container Sicherheit
Blog

|

31.05.2023

7 Tipps zur Container-Sicherheit

Daniel Graßer
Moderne IT setzt zunehmend auf Container. Wir haben Tipps, wie sich diese absichern lassen.

Die Nutzung von Containern und Kubernetes nimmt zu, was angesichts der zahlreichen Chancen und Vorteile, die Containerisierung eröffnen kann, wenig verwundert. Doch Unternehmen sollten sich auch mit dem komplexen Thema der Container-Sicherheit befassen. Denn auch wenn Container effizienter genutzt werden können als virtuelle Maschinen und Anwendungen sich so in einer portablen, softwaredefinierten Umgebung einsetzen lassen: Aufgrund der großen Menge an verarbeiteten Daten ergeben sich schnell Sicherheitslücken.

Viele IT-Abteilungen erkennen inzwischen die erhöhte Vulnerabilität, die sich aus dem Einsatz von Containern ergibt. So hat eine Umfrage des IT-Sicherheitsunternehmens NeuVector ergeben, dass immerhin 71 Prozent der Befragten in Unternehmen besorgt um die Absicherung ihrer Container-Umgebung sind. Die spezifischen Herausforderungen der Container-Sicherheit, besonders in einem Multi-Cloud-Szenario, sollten allerdings kein Grund sein, auf Containerisierung zu verzichten.

Mit den folgenden sieben Tipps sorgen Sie für mehr Container-Sicherheit:

Tipp 1: Ein Zero-Trust-Ansatz ist die notwendige Voraussetzung für vernünftige Container-Sicherheit.

Der Datenverkehr, der sich zwischen den einzelnen Servern ergibt, ist im Container-Umfeld deutlich umfangreicher als bei herkömmlichen Anwendungen. Die Überwachung und Auswertung des Traffics ist daher etwas schwieriger. Unternehmen, die Cloud-Container-Dienste nutzen, sollten daher Zero-Trust-Sicherheit in ihre Architektur einplanen und so die Angriffsfläche für Hacker möglichst gering halten. Ein Zero-Trust-Ansatz stellt sicher, dass sämtliche Machine-to-Machine-Transaktionen authentifiziert und privat sind. Zero-Trust-Sicherheit ersetzt dabei implizites Vertrauen, das auf dem Netzwerkstandort eines Geräts oder der Authentifizierung eines Nutzers in einem bekannten Netzwerk basiert, durch eine explizite Verifizierung für den Zugriff auf einen Service, ein Gerät oder ein Daten-Repository. Dabei sollten die Sicherheitsrichtlinien, Benutzer- und Gruppen-IDs sowie Zertifikate portabel sein. Das gilt umso mehr für eine komplexe Multi-Cloud-Infrastruktur.

Tipp 2: Monitoring-Tools helfen beim Erkennen von mehrstufigen, komplexeren Angriffen.

Wichtig ist vor allem der Schutz der Kubernetes-Container selbst. Diese können entweder von außen angegriffen werden oder (ungewollt) durch Phishing-Attacken von innen. Angreifer agieren oftmals über Schwachstellen im Netzwerk oder in den Services selbst. Das Tückische an vielen Angriffen auf Container-Infrastrukturen ist, dass sich die Malware schon länger dort befindet, bevor es zur Auslösung kommt. So nutzen beispielsweise vulnerable Bibliotheken und Pakete den Container zunächst aus. Sie lösen aber erst zu einem späteren Zeitpunkt eine Rechteerweiterung aus, um zusätzlichen Schaden zu verursachen und beispielsweise Datendiebstahl zu verüben. Moderne Kubernetes-Monitoring-Tools erkennen auch solche mehrstufigen Angriffe.

Tipp 3: Nutzen Sie nur vertrauenswürdige Container und überprüfen Sie das regelmäßig.

Container-Sicherheit fängt schon beim Onboarding, also in einem sehr frühen Stadium an. Installieren Sie daher Container nur aus Quellen, die Sie als vertrauenswürdig einstufen können und hosten Sie dazu bestenfalls eine eigens abgesicherte interne Docker-Registry wie GitLab. Geben Sie in den Richtlinien vor, dass auch die Administratoren nur vorab gescannte und validierte Container-Images verwenden dürfen. Darüber hinaus sollten Sie die Images regelmäßig überprüfen und bei Auffälligkeiten isolieren.

Tipp 4: Implementieren Sie Machine Learning für bessere Erkennung von Anomalien.

Häufig finden bei Cyberangriffen im Container-Umfeld Privilegienerweiterungen und verdächtige Prozesse wie Port-Scans statt. Unternehmen sollten sich daher nicht nur auf eine herkömmliche Container Firewall verlassen, sondern den Schutz über einen zusätzlichen verhaltensbasierten Lernprozess mit zusätzlichem Machine Learning verbessern. Dieser erkennt, ob bestimmte Aktivitäten in der Vergangenheit regelmäßig erfolgt sind oder nicht. Solche lernenden Algorithmen und möglichst weitreichende Automatisierungsmaßnahmen können dazu beitragen, dass Administratoren auch in Zukunft das Katz-und-Maus-Spiel gegen die Cyberkriminalität gewinnen.

Tipp 5: Automatisieren Sie die Container-Sicherheit so weit wie möglich.

Wir haben es bereits gesagt: Die Komplexität von Containerinfrastrukturen generiert eine immense Datenmenge. Unter den Alerts befinden sich deshalb zuweilen Fehlalarme. Daher ist es empfehlenswert, mit Hilfe von Wahrscheinlichkeiten zu arbeiten und möglichst viele Entscheidungen der Technik zu überlassen. Erhöhen Sie so nach und nach den Automatisierungsgrad im Hinblick auf Ihre Container-Sicherheit und arbeiten Sie mit einer zweistufigen Lösung mit unterschiedlichen Sicherheitsansätzen. Im Zweifelsfall kann eine  automatisierte und regelbasiert arbeitende Sicherheitslösung im richtigen Moment die entsprechenden Teile des Systems abriegeln, um Schäden zu verhindern oder zu minimieren.

Tipp 6: Achten Sie gerade bei Open Source darauf, dass stets sämtliche Updates und Bugfixes installiert sind.

Open Source ist bei Containerisierung und Kubernetes Segen und Fluch zugleich. Denn aufgrund der quelloffenen Technologien werden Sicherheitslücken zwar von einer großen Community beobachtet und meist schnell gefixt. Doch zugleich ergibt sich daraus auch eine große Angriffsfläche, weil sich Cyberattacken aufgrund der großen Verbreitung für Angreifer besonders lohnen. Oberstes Ziel muss es daher sein, sämtliche Betriebssystem- und Kernel-Updates zeitnah zu installieren und auch hier gegebenenfalls mit automatisierten Rollout-Prozessen zu arbeiten.

Tipp 7: Eine integrierte Sicherheitslösung aus der Cloud ist oft besser als einzelne Open-Source-Tools.

Es gibt eine Vielzahl von Open-Source-Tools, die jeweils Teile der Container-Sicherheit abdecken können. Beispielsweise Istio als Service-Mesh, Grafeas für die Metadatenverwaltung und Anchore für die Überwachung der Dateisystemstruktur auf Sicherheitslücken. Diese Tools bieten zwar Schutz vor Cyberangriffen und erhöhen so die Containersicherheit, decken aber immer nur einen bestimmten Bereich ab. Eine integrierte Cloud-Lösung für die Container-Sicherheit ist dagegen gerade für mittelständische Unternehmen meist die bessere Wahl, da sie auch tagesaktuellen Bedrohungsszenarien gerecht wird und angesichts überschaubarer Implementierungskosten wirtschaftlich sinnvoll ist.

Jedes Unternehmen hat sein eigenes Risikoprofil bei der Container-Sicherheit

Zusammengefasst erfordert Container-Sicherheit aufgrund der komplexen Anforderungen einiges an Know-how – doch Container bleiben die Grundlage für hohe Flexibilität und Skalierbarkeit bei geringem Ressourcenverbrauch. Bei der Container-Sicherheit kann es indes keine Strategie geben, die für jedes Unternehmen gleichermaßen passt. IT-Verantwortliche sollten sich daher erfahrene Berater ins Haus holen, die anhand des individuellen Risikoprofils die passenden Vorkehrungen und Lösungen empfehlen und einsetzen können.

Container-Sicherheit mit Workload Protection

Sorgen Sie für einen umfassenden Schutz Ihrer Kubernetes-Container – schnell und einfach mit Workload Protection as a Service.
Mehr erfahren
Managed Kubernetes Test

Über den Autor

Daniel Graßer verantwortet seit Juni 2022 als Senior Director of Security Services das Security Portfolio & Services sowie die dazugehörige Strategie bei plusserver. Das Leistungsportfolio umfasst neben hochstandardisierten Cloud-Produkten u. a. Themen wie Security as a Service, Anti-Ransomware-Strategien bis hin zum Betrieb von SOC-Leistungen.

Weiterführende Inhalte

Produkte

Cloud Security

Erreichen Sie Ihr Digitalisierungsziel mit der passenden Security-Strategie.
Mehr erfahren
Produkt

Private Registry

Container Images und Helm Charts einfach speichern, verwalten und nutzen.
Mehr erfahren
Produkt

Managed Kubernetes

Mit unserem Managed Kubernetes erstellen und orchestrieren Sie Kubernetes-Cluster im Handumdrehen.
Mehr erfahren