Wie sichert man einen Container?

Ein Container ist eine standardisierte, eigenständige Softwareeinheit, die Code mit seinen Abhängigkeiten kapselt, sodass eine Anwendung in verschiedenen Computerumgebungen schnell und konsistent ausgeführt werden kann. Container sind eine Art Virtualisierung für Betriebssysteme. Alle erforderlichen ausführbaren Dateien, Binärcode, Bibliotheken und Konfigurationsdateien sind in einem Container enthalten.

Ein einzelner Container kann einen kleinen Microservice bis hin zu einer größeren Anwendung verarbeiten. Container enthalten keine Betriebssystem-Images. Daher sind sie leichter und portabler und verursachen weniger Overhead. Container-Images werden in Containern gespeichert. Diese Images sind keine tatsächlichen Images, sondern Dateiebenen. Das Basis-Image dient als Ausgangspunkt für die Erstellung abgeleiteter Images. Daher ist die Sicherung des Basis-Images am wichtigsten.

Was ist Containermanagement und wie kann es Ihnen helfen?​

Containermanagement ist eine Methode zur Automatisierung der Containerentwicklung, -bereitstellung und -skalierung. Containermanagement ermöglicht das Hinzufügen, Ersetzen und Klassifizieren von Containern in großem Umfang. Dies geschieht in der Regel durch die Analyse und Sicherung aller Images, die Ihr Team herunterlädt und erstellt. Um rollenbasierte Aufgaben zuzuweisen, Richtlinien zu automatisieren, menschliche Fehler zu reduzieren und Schwachstellen zu entdecken, werden private Register und Metadaten eingesetzt.

Bedeutung der Containersicherheit

Container bieten zwar einige inhärente Sicherheitsvorteile, wie beispielsweise eine verbesserte Anwendungsisolierung, erweitern aber auch die Gefahrenlandschaft eines Unternehmens. Unternehmen können erhöhten Sicherheitsrisiken ausgesetzt sein, wenn sie spezifische Sicherheitsverfahren für Container nicht verstehen und planen.

Der Einsatz von Containern in Produktionsumgebungen hat deutlich zugenommen, was Container zu einem attraktiveren Ziel für Angreifer macht. Darüber hinaus kann ein einzelner anfälliger oder ausgenutzter Container zum Einstiegspunkt in die Infrastruktur eines Unternehmens werden.

Angesichts des zunehmenden Datenverkehrs im Rechenzentrum und in der Cloud gibt es nur wenige Sicherheitskontrollen, um diese Hauptquelle des Netzwerkverkehrs im Auge zu behalten. Da herkömmliche Netzwerksicherheitslösungen keinen Schutz vor lateralen Bedrohungen bieten, unterstreicht dies die Bedeutung der Containersicherheit.

Wie sichert man einen Container?​

Das Sicherheitshandbuch für Anwendungscontainer, herausgegeben von Nationales Institut für Standards und Technologie (NIST)beschreibt verschiedene grundlegende Techniken zur Sicherung von Containern. Im Folgenden sind einige wichtige Punkte aus dem NIST-Bericht aufgeführt:

• Um Angriffsflächen zu reduzieren, verwenden Sie das containerspezifische Host-Betriebssystem

  NIST empfiehlt die Verwendung containerspezifischer Host-Betriebssysteme. Diese sind speziell für die Ausführung von Containern mit eingeschränkten Funktionen konzipiert, um die Angriffsfläche zu minimieren.

• Gruppieren Sie Container nach Zweck, Sensibilität und Risikoprofil

  Durch die Gruppierung von Containern kann eine Organisation es Hackern erschweren, auf eine der Gruppen zuzugreifen und den Angriff auf andere auszuweiten.

• Nutzen Sie Lösungen für Schwachstellenmanagement und Laufzeitsicherheit

  Wenn es um Container geht, weisen herkömmliche Technologien zum Testen und Verwalten von Schwachstellen häufig blinde Flecken auf, was zu fälschlichen Meldungen führt, dass hinsichtlich Container-Images, Konfigurationseinstellungen usw. alles in Ordnung sei.

  Die Aufrechterhaltung der Laufzeitsicherheit ist ein wichtiger Aspekt bei der Bereitstellung und dem Betrieb von Containern. Herkömmliche Perimeter-orientierte Tools wie Web Application Firewalls (WAFs) und Intrusion Prevention Systems (IPS) wurden nicht speziell für Container entwickelt und können diese nicht ausreichend schützen.

Best Practices für die Sicherheit von Docker-Containern

Docker, ein Marktführer im Bereich Containerisierung, bietet eine Container-Plattform für die Entwicklung, Verwaltung und Sicherung von Anwendungen. Kunden können Docker nutzen, um sowohl traditionelle Anwendungen als auch neueste Microservices von jedem beliebigen Standort aus bereitzustellen. Wie bei jeder anderen Container-Plattform müssen Sie für ausreichenden Schutz sorgen.

Es gibt einige Best Practices für die Docker-Sicherheit:

• Um Malware zu vermeiden, verwenden Sie nur Bilder aus vertrauenswürdigen Quellen.
• Reduzieren Sie Ihre Angriffsfläche durch die Verwendung dünner, kurzlebiger Container.
• Beschränken Sie den SSH-Zugriff, indem Sie die Fehlerbehebung ohne Anmeldung aktivieren.
• Docker-Images signieren und verifizieren.
• Fügen Sie Docker-Images keine vertraulichen Daten hinzu.
• Erkennen, beheben und überwachen Sie Open-Source-Schwachstellen.

Best Practices für die Sicherheit von Kubernetes-Containern​

Kubernetes ist eine portable und skalierbare Open-Source-Plattform zur Verwaltung containerisierter Workloads und Dienste. Kubernetes bietet zwar Sicherheitsfunktionen, Sie benötigen jedoch eine dedizierte Sicherheitslösung, um Ihren Cluster zu schützen, da Angriffe auf Kubernetes-Cluster zugenommen haben.

Es gibt einige Best Practices für die Kubernetes-Sicherheit:

• Stellen Sie sicher, dass Kubernetes auf dem neuesten Stand ist

  Kubernetes ist ein Container-Orchestrierungssystem mit über 2,000 Mitwirkenden und wird regelmäßig aktualisiert. Schwachstellen werden immer häufiger identifiziert und behoben. Es ist wichtig, die Kubernetes-Versionen stets auf dem neuesten Stand zu halten, insbesondere angesichts der Weiterentwicklung der Technologie.

• SSH-Zugriff einschränken

  Einschränkung von SSH Der Zugriff auf Ihre Kubernetes-Knoten ist eine weitere einfache und wichtige Sicherheitsrichtlinie, die in Ihrem neuen Cluster implementiert werden sollte. Sie sollten Port 22 auf keinem Knoten offen lassen, müssen aber möglicherweise Probleme beheben. Sie können Ihren Cloud-Anbieter so einstellen, dass Ihre Knoten den Zugriff auf Port 22 außer über das VPN Ihres Unternehmens blockieren.

• Festlegen von Sicherheitsgrenzen durch die Verwendung von Namespaces

  Isolieren Sie Komponenten, indem Sie unterschiedliche Namespaces erstellen. Wenn unterschiedliche Workloads in separaten Namespaces bereitgestellt werden, wird die Anwendung von Sicherheitsregeln wesentlich einfacher.

• Regelmäßige Auditierung und Überwachung

  Stellen Sie sicher, dass Audit-Protokolle aktiviert sind und auf ungewöhnliche oder unerwünschte API-Anfragen, insbesondere auf Autorisierungsfehler, überwacht werden. Autorisierungsfehler deuten darauf hin, dass ein Angreifer versucht, gestohlene Anmeldeinformationen zu verwenden. Managed Kubernetes-Anbieter wie GKE bieten Zugriff auf die Daten über ihre Cloud-Konsole und ermöglichen möglicherweise die Einrichtung von Warnmeldungen für Autorisierungsfehler.

Bewährte Methoden für die AWS-Containersicherheit

AWS ist sich der Bedeutung von Containern bewusst, die es Entwicklern ermöglichen, Anwendungen schneller und konsistenter bereitzustellen. Daher bietet das Unternehmen eine skalierbare, leistungsstarke Container-Orchestrierung an: Amazon Elastic Container Service (ECS) und Amazon Kubernetes Service (EKS), die Docker-Container unterstützt.

Es gibt einige Best Practices für die Sicherheit von AWS-Containern:

• Umgebungstests

  Führen Sie Umgebungstests mit Tools wie Prowler durch, um sicherzustellen, dass die Umgebung wie vorgesehen funktioniert, bevor Sicherheitsbedrohungen durch die Bereitstellung behoben werden. Das AWS-Modell der geteilten Verantwortung bedeutet, dass Benutzer die Umgebung sicher halten, die Containersicherheit überwachen und den Netzwerkzugriff regulieren müssen.

• Unnötige Privilegien

  Das Gewähren uneingeschränkten Zugriffs oder der Erteilung von Rechten an den Containern selbst erhöht das Risiko von Sicherheitsverletzungen. Je mehr Standardzugriffsrechte ein Container hat, desto größer ist das Risiko, dass er kompromittiert wird. Außerdem wird es schwieriger, den Eintrittspunkt für eine Sicherheitsverletzung zu ermitteln.

• Fokus auf Container

  Wenn es um die Sicherung des Ökosystems geht, sollten Sie nicht den Fehler machen, sich ausschließlich auf die Container zu konzentrieren. Auch die Hosts, auf denen das Container-Management-System läuft, sind wichtig. Bewerten Sie die Sicherheit aller Komponenten, scannen Sie regelmäßig auf Schwachstellen, überwachen Sie Bedrohungen und halten Sie das System auf dem neuesten Stand.

Bewährte Methoden für die Containersicherheit in Microsoft Azure

Es gibt einige Best Practices für Microsoft Azure Containersicherheit:

• Privates Register

  Zum Erstellen von Containern werden Images aus Repositorys verwendet. Diese Repositorys können Teil einer öffentlichen oder privaten Registrierung sein. Docker Trusted Registry, das lokal oder in einer virtuellen privaten Cloud installiert werden kann, ist ein Beispiel für eine private Registrierung. Sie können auch Azure Container Registration verwenden, einen cloudbasierten privaten Containerregistrierungsdienst. Öffentlich verfügbare Images sind möglicherweise nicht geschützt, da sie aus mehreren Softwareebenen bestehen, die jeweils anfällig sein können. Speichern und rufen Sie Images daher in einer privaten Registrierung wie Azure Container Registry oder Docker Trusted Registry ab, um die Gefahr von Angriffen zu verringern.

• Sichere Anmeldeinformationen

  Container können über mehrere Azure-Regionen und -Cluster verteilt sein. Daher sind Anmeldeinformationen wie Passwörter oder Token für die Anmeldung erforderlich, und der API-Zugriff muss geschützt werden. Nur privilegierte Benutzer sollten während der Übertragung oder im Ruhezustand Zugriff auf diese Container haben. Alle geheimen Anmeldeinformationen sollten überprüft werden, und Entwickler sollten neue, für Containerplattformen entwickelte Tools zur Geheimverwaltung verwenden.

• Container-Images überwachen und scannen

  Nutzen Sie Lösungen, um in einer privaten Registrierung gespeicherte Containerimages auf potenzielle Sicherheitsrisiken zu analysieren. Azure Container Registry lässt sich optional in Azure Security Center integrieren, um alle in eine Registrierung übertragenen Linux-Images zu scannen. Der integrierte Qualys-Scanner in Azure Security Center erkennt Image-Sicherheitsrisiken, klassifiziert sie und bietet Hinweise zur Risikominderung.