gesponsertZentraler Schutz von Build- bis Runtime Container und Cybersicherheit

Gesponsert von

Trend Micro Deutschland GmbH

Containerisierung hat die Entwicklung, Bereitstellung und Verwaltung von Applikationen revolutioniert. Die Technologie ermöglicht es, Applikationen und ihre Abhängigkeiten in einem Image zu bündeln und in isolierten Umgebungen auszuführen. 

Container sind wiederverwendbar, eignen sich für fast alle Aufgaben und erlauben schnelle und unternehmensweite Anpassungen durch einfache Verteilung eines neuen Container-Images. In Verbindung mit DevOps ermöglichen sie eine deutliche Beschleunigung der Prozesse von der Anwendungsentwicklung bis zur Bereitstellung. Gleichzeitig entstehen durch die Container-Technologie aber auch neue, spezifische Sicherheitsherausforderungen, die im gesamten Container-Lebenszyklus von der Build- bis zur Runtime adressiert werden müssen.

Risiken zur Build-time

Wenn Entwickler eine neue Applikation schreiben, beginnen sie nur in den seltensten Fällen bei null. Applikationen in Container-Images beinhalten daher häufig Softwarecode aus 3rd-Party-Quellen wie Docker Hub oder GitHub, der mit individuellen Anpassungen und Eigenentwicklungen angereichert wurde. In der Vergangenheit ist in einigen Fällen Schadcode in Open-Source-Software gelangt und konnte sich somit in den Container-Image-Build-Prozess einschleichen.

Ein weiteres Risiko bilden die im Image verpackten Betriebssystem-Libraries und Applikationen, falls diese nicht dem aktuellen Versionsstand entsprechen und möglicherweise angreifbare Schwachstellen enthalten. Auch das Zurücklassen von Geheimnissen im Image (zum Beispiel API-Schlüssel oder Tokens) oder die ungeprüfte Übernahme von Standardeinstellungen kann Angriffspunkte bieten.

Weitere Risiken entstehen, wenn Container mit zu weitreichenden Rechten ausgestattet werden. Erfolgreiche Angriffe auf überprivilegierte Container können größte Schäden anrichten, weshalb auf die Einhaltung des Least-Privilege-Prinzips geachtet werden muss.

Immer häufiger nehmen Angreifer auch die Container-Registry ins Fadenkreuz, also den zentralen Pool zur Image-Speicherung und Bereitstellung. Gelingt hier eine Manipulation werden kompromittierte Inhalte verbreitet. Deshalb muss kontinuierlich verhindert werden, dass Container mit Schwachstellen bzw. manipulierte Container in die Produktionsumgebung gelangen.

Risiken zur Runtime

Mit Bereitstellung der Container-Images als Pods im Kubernetes-Cluster besteht nicht nur das Risiko, dass sich ungeprüfte Images in den Betrieb geschmuggelt haben, sondern auch das die vorangehende Prüfung auf Schwachstellen zeitlich überholt ist. Diese muss sinnvollerweise wiederholt werden.

In laufenden Container Pods finden keine Änderungen an Dateien der enthaltenen Applikationen statt. Im Betrieb gibt es außerdem keinen Grund, aus einem laufenden Container auf die Infrastruktur zuzugreifen. Deshalb muss während der Laufzeit eine Echtzeit-Erkennung von Sicherheitsereignissen greifen.

Sicherheit für den gesamten Container-Lebenszyklus

Container-Image-Scanning ermöglicht die Integration von Scans direkt in die Entwicklungspipeline sowie das fortlaufende Scanning von Images in der Registry. Entwickler können Sicherheitsprobleme früher im Container-Lebenszyklus beheben, was Kosten und Aufwand der Problembehebung deutlich reduziert. Ohne Auswirkung auf Build-Zyklen stellen DevOps-Teams kontinuierlich produktionsreife Applikationen bereit.

Laufzeit-Schutz durch volle Transparenz und Detection & Response

Der Laufzeit-Schutz sorgt für Sichtbarkeit aller Aktivitäten in laufenden Containern, die gegen vordefinierte Sicherheitsregeln verstoßen, darunter unerlaubte Remote-Code-Ausführungen, unerwünschte Datenzugriffe und vieles mehr. Außerdem wird die Verbindung zum MITRE ATT&CK Framework für Container hergestellt. Verhält sich ein Kubernetes Pod zur Laufzeit auffällig, kann er regelbasiert terminiert oder isoliert werden.

Ganzheitlicher Schutz für den gesamten Container-Betrieb

Neben diesen spezifischen Herausforderungen entstehen durch den Einsatz von Containern weitere Sicherheitsaufgaben. Wenn Unternehmen zum Beispiel selbst einen Container-Host betreiben, muss dieser gegen Änderungen verriegelt, zuverlässig gewartet und aktiv überwacht werden. Auf der Orchestrierungsebene ist zu bedenken, dass Kubernetes den Komplexitätsgrad der Konfiguration und Sicherheit erhöht. Zu den häufig auftretenden Problemen gehört auch die Kontrolle des Ost-West-Netzwerkverkehrs zwischen Containern.

Mit weiteren Modulen der Vision-One-Plattform, können Unternehmen auch diese Sicherheitsaspekte in eine zentrale Konsole mit konsistenter Funktionalität integrieren, um Informationssilos zu eliminieren, problematische Konfigurationen zu identifizieren und unnötigen Managementaufwand zu vermeiden.