:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/9b/70/9b701d17f9947da98f7ff66794de1c40/0118171949.jpeg "Aktuell ist es möglich, dass Cyberkriminelle Malware über GitHub verteilen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/90/1b90e93ba52866a4520b86a925993f29/0117406981.jpeg "Durch ein offenes Raumdesign können Beschäftigte leichter miteinander interagieren, Ideen austauschen und eine stärkere Gemeinschaft bilden. (Bild: © – Summit Art Creations – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/93/2093605967fba6ca761479c0dcc33573/0117972377.jpeg "Im YouTube-Video erläutert Torsten Linz, Senior Product Manager bei GitLab, die Funktionen von „Duo Chat“ (Bild: GitLab / YouTube)")
:quality(80)/p7i.vogel.de/wcms/a0/db/a0db295ab12eacca549e71cba078357c/0108524470.jpeg "Wer automatisiertes Testing etablieren müsste, sollte die richtige Programmiersprache anhand verschiedener Faktoren ausfindig machen. (© Thapana_Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/99/539908c43030c50e7600c7e0f2d86c9b/0118173743.jpeg "Eine REST-Protection-Lösung sorgt dafür, dass kryptografische Schlüssel und der Verschlüsselungsprozess komplett in der Hand des Dateneigentümers liegen und niemals bei einem Dritten, wie z.B. dem Cloud-Provider. (Bild: Marharyta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/f8/5ff8b33a74c400cae216d0256d7e6d85/0117562724.jpeg "Cyber-Bedrohungen entwickeln sich permanent weiter, weshalb Unternehmen beim Einsatz von SaaS-Anwendungen spezielle Sicherheitsstrategien anwenden müssen, um diese Risiken zu mindern. (Bild: lee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/81/9281ad54c8c529960a82588fbb9b173b/0117742244.jpeg "Die Gesichtserkennung findet Gesichter in Bildern und liefert Rahmenkoordinaten zurück. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/52/04/5204001045d6084687e6d1e51b7f6165/0117560791.jpeg "Ein Blick auf das neue Azure-AI-Studio. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/17/90/17901438b6c69dfea4a601d8666326db/0117815970.jpeg "Die nächste Version von Android unterstützt unter anderem SMS-, MMS- und RCS-Übertragungen via Satellit. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/00/40/0040c7606199a9462928636e8ae5de2d/0118174634.jpeg "API-Security dient dazu, APIs regelmäßig zu überwachen und zu testen, um Schwachstellen zu finden und diese zu entschärfen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/f7/6d/f76d249a97c8c0a91983ab137df5a078/0117977628.jpeg "Durch die neue EU-Produkthaftungsrichtlinie wird „Software“ erstmals ausdrücklich Gegenstand von verschuldensunabhängiger Haftung. (Bild: finecki - stock.adobe.com)")
![Die OutSystems Developer School hilft Entwicklerinnen und Entwicklern, in zwei Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform zu erstellen. (Bild: © Uncle-Ice – stock.adobe.com [KI])](https://cdn1.vogel.de/7tR3LrI-ALAZffa7U-K2N7WlUtY=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/0e/66/0e66ec2528b7c4b1e0894d36610667c7/0117996821.jpeg "Die OutSystems Developer School hilft Entwicklerinnen und Entwicklern, in zwei Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform zu erstellen. (Bild: © Uncle-Ice – stock.adobe.com [KI])")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Schwachstellenanalyse für Container und Cloud, Teil 1 Ebenen der Container-Sicherheit
Das Absichern von Container-Umgebungen ist eine nicht zu unterschätzende Angelegenheit. Dabei legen Betreiber von Container-Plattformen ihren Fokus eher darauf, die Container-Integrität und die Container Herkunft zu überwachen und zu kontrollieren.
Docker hat sich zum Synonym für Container-Technologie entwickelt, denn mit Docker wurde Container-Technik massentauglich. Engine, Management-Tools und Container-Marktplatz (Docker Hub) haben einen nicht unerheblichen Anteil daran.
Sicherheitstechnisch weisen (Docker-)Container allerdings neben systemimmanenten Aspekten ein weiteres Problem auf, der die Herkunft der Technik betrifft. Container werden über Images bereitgestellt und diese Abbilder basieren auf anderen Images.
Weist der Code eines (Basis-)Images Schwachstellen auf, dann übertragen sich die Schwachstellen unweigerlich auf sämtliche Container, die denselben Image-Code nutzen. Solange niemand diesen Code patcht und optimiert, helfen auch zusätzliche Sicherheitstools nicht.
Bedeutung von Container-Sicherheit
Es ist ja kein Geheimnis, dass sich z. B. der Docker-Hub über die Jahre zu einer Spielwiese für Entwickler und Virtualisierungs-Geeks entwickelt hat. Hier können sie sich nach Lust und Laune an der wieder entdeckten Linux/Unix-Technologie (Docker basiert bekanntlich auf LXC, das wiederum Konzepte aus Solaris Zones oder BSD Jails aufgreift) austoben.
Nachdem zunächst Entwickler die leichtgewichtigen Container für sich entdeckt hatten, rufen Container heute zunehmend auch IT-Verantwortlichen aus dem klassischen Virtualisierungsumfeld auf den Plan, weil Container im Kontext von DevOps sowie Continuous Integration and Delivery (CI/CD) auch für Unternehmen interessant werden.
Im Unternehmen müssen Container aber sowohl gesetzlichen Vorgaben, als auch interne Compliance- und Sicherheitsstandards genauso erfüllen, wie anderen Technologien auch. Der Schutz von Containern und dessen Überwachung ist daher für alle Unternehmen, die Container produktiv einsetzen, ein zentrales Problem, da handelsübliche Sicherheitstools in der Regel keine Container scannen.
Checkliste Container-Security
Container-Sicherheit startet bei fundamentalen Themen wie dem Härten der Systeme, wobei man den gesamten Container-Stack hierzu sinnvollerweise in Schichten betrachtet:
- 1. Container Host
- 2. Container Runtime
- 3. Container Registry
- 4. Container Images
- 5. Container Orchestrator
- 6. Persistent Storage
Absichern des Container-Hosts
Der wichtigste Layer ist der Host, der sämtliche Container „hostet“ (Docker-Host). Glücklicherweise bildet dieser aber den am einfachsten zu schützende Layer im Security-Stack. Hierbei wird es sich in den meisten Fällen um eine handelsübliche Linux-Distribution handeln. Wie man ein Linux-System härtet dürfte daher hinlänglich bekannt sein.
- Angriffsvektoren minimieren: hierzu speckt man das zu verwendende Linux-System Dienst-technisch sowie dessen Kernel z. B. durch das Entfernen/Deaktivieren von Kernel-Modulen soweit ab, dass der resultierende Footprint nur dazu dient, Container zu hosten und zu überwachen.
- Strikte Zugriffskontrolle: Besteht die einzige Rolle des Container-Hosts aber im Hosten von Containern, braucht man auf dem System nicht viele Benutzer-Konten. In den meisten Fällen genügt ein root-User, bei dem es einfach ist, nur Remote-Logins von spezifischen Remote-Hosts zu erlauben. Hinzu kommen ggf. noch eine Reihe von Dummy-User-Konten, die nur auf ausgewählte Services zugreifen dürfen. Tools wie App Armor oder SELinux helfen zudem beim Umsetzen einer strikten Access Control.
Absichern der Container Runtime
Aus den geschilderten Gründen lassen sich Container während der Laufzeit noch viel schwieriger schützen bzw. härten. Traditionelle Sicherheitswerkzeuge sind nämlich nicht dafür gebaut, laufende Container zu überwachen. Dazu empfiehlt sich folgende Vorgehensweise:
- Definieren von Status-Baselines für die Container-Umgebung, wie z. B. „Normal” und „Sicher”. Durchführen von Echtzeit-Scans laufender Container und Vergleichen der Ergebnisse mit den definierten Baselines, um Anomalien auszuspüren, die eine Angriffssignatur darstellen könnten.
- Nutzer sollten sich eher auf das „Absichern” der Applikation konzentrieren, als sich auf Netzwerk-Security-Tools zu verlassen. Firewalls und andere Arten von Perimeter-Netzwerken/DMZs funktionieren nämlich in einer Container-basierten Umgebung nicht.
- Steht dann z. B. ein Update einer Applikation oder eines Dienstes an ist es besser, laufende Container zu stoppen und durch komplett neue zu ersetzen. In Container-Umgebungen gilt es als sicherer, die Container-Infrastruktur unverändert zu lassen, als zu versuchen, Live-Updates auf laufende Container anzuwenden. Dies führt auf lange Sicht gesehen zu Konfigurationsabweichungen und erschwert das Umsetzen von Security-Policies.
- Laufende Container sind immer nur so sicher, wie der Applikations-Code, d. h. sämtliche traditionellen Regeln zum Schreiben sicheren Codes gelten und greifen auch hier
Absichern der Container Registry
Eines der Features, durch das sich Container-Umgebungen von traditionellen Umgebungen unterscheiden, ist die Container Registry. Registries sind praktisch, weil sie eine zentrale Bezugsquelle zum Herunterladen von Images zur Verfügung stellen.
Das ist nun keine wirklich neue Idee, denkt man etwa an die Online-Depots der diverses Linux-Distributionen, App Stores oder an Marktplätze für virtuelle Maschinen (OVA/OVF, z. B. VMware Solution Exchange) oder VM-Templates (AWS AMI Marketplace). Jedoch unterscheidet sich die Container Registry in einem wichtigen Punkt. In Container-Umgebungen stellen Registries tatsächlich die einzige Möglichkeit dar, an „containerisierte“ Applikationen zu kommen, während man Applikationen in traditionellen Umgebungen auch ganz ohne Paket-Repository installieren kann.
Daher sollte der Server, der die Registry hostet, ebenso wie der Container-Host möglichst geringe Angriffsfläche bieten. Außerdem dürfen ausschließlich sichere Zugriffsrichtlinien zum Einsatz kommen. Hierbei kann ein Image-Scanner helfen, der Verwundbarkeiten in Container-Images findet.
Absichern von Container Images
Die wichtigsten Schritte zum Absichern von Container-Images überlappen sich zu einem großen Teil mit denen zum Absichern der Registry. Allerdings erfordert das Absichern von Images noch einige zusätzliche Überlegungen:
- Images sollten stets nur ein absolutes Minimum an Code beinhalten, gerade so viel, wie zwingend erforderlich ist, um den Service oder die Applikation auszuführen, für den das Image gedacht ist. Alle nicht zwingend benötigten Services sollten aus dem Image entfernt werden. So ist es z. B. nur in den seltensten Fällen erforderlich, im Image einen SSH-Server auszuführen, weil man sich jederzeit auf andere, sicherere Weise mit dem Container verbinden kann.
- Der Zweck jedes Images besteht ja ausschließlich darin, als Vorlage für das Erstellen von Service- oder Applikations-Containern zu dienen. Daher sollten Images unter keinen Umständen für anderen Zwecke „missbraucht“ werden, wie etwa das Hosten von Quellcode. Dies wäre nämlich tatsächlich recht praktisch, aber es gibt bessere und sicherere Wege wie etwa ein Code-Repository.
Absichern des Orchestrators
Der Orchestrator ist das Gehirn der Container-Umgebung. Ein wichtiger Punkt, den man dabei im Hinterkopf behalten sollte: weder bei Kubernetes noch bei Docker Swarm handelt es sich um Sicherheits-Tools. Sie kümmern sich um das Provisionieren von Containern, sind aber nicht für Intrusion- oder Vulnerability-Detection konzipiert.
Nutzer dürfen daher von Kubernetes oder Docker Swarm nicht erwarten, dass deren Vorhandensein allein genügt, die Container-Umgebung sicher zu machen. Im Gegenteil ist es sogar erforderlich, Vorsichtsmaßnahmen zu treffen um sicherzustellen, dass der Orchestrator nicht zum Einfallstor mutiert.
Daher ist es ratsam, den Orchestrator nur aus einer offiziellen und vertrauten Quelle zu installieren. Ferner muss der Orchestrator für HA, bzw. automatisches Failover konzipiert, bzw. konfiguriert sein. In Abhängigkeit davon, welchen Orchestrator man konkret einsetzt, sind ggf. weitere, spezielle Maßnahmen zu treffen.
Wer sich mit dem Thema auseinandersetzen muss, findet beispielsweise einige Sicherheitsvorschläge in der Kubernetes-Community. Swarm-Nutzer erhalten entsprechende Security-Best-Practices im Docker Reference Guide. Einen ebenfalls sehr detaillierten Leitfaden zum Absichern des Orchestrators hat auch Twistlock selbst veröffentlicht.
Absichern des persistenten Storage
Der Persistent-Storage-Layer einer Container-Umgebung kann in vielfältigen Formen existieren – je nachdem, für welche Container-Plattform man sich entschieden hat, etwa Docker Data Volumes oder Flocker. Die Details zum Absichern der Container-Umgebung hängen also auch von den Details der Storage-Architektur ab.
Dazu folgende Überlegungen: meist benötigen Container gar keinen Schreib-Zugriff auf ein Container-Directory im Shared Storage. Gut ist es auch, wenn das verwendete Dateisystem Roll-Backs unterstützt.
Wie bei anderen Komponenten des Container-Stacks sind effiziente Access Controls der Schlüssel dazu. So müssen nur Container, die Zugriff auf Shared Storage benötigen, entsprechende Berechtigungen dazu haben. Außerdem ist sicherzustellen, dass keine User oder Apps auf dem Storage Server Zugriff auf das Storage-System haben, außer wenn dies zwingend erforderlich ist.
(ID:44886166)
:quality(80)/p7i.vogel.de/wcms/29/49/294963cf0c33c9bc5448f3d3a76f085c/0113384344.jpeg "Anhaltende Softwaresicherheit muss für Unternehmen oberstes Gebot sein, denn Container sind nicht nur eine Methode zur Effizienzsteigerung und schnelleren Softwareentwicklung – ihre Absicherung ist von entscheidender Bedeutung für alle. (Bild: your123 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/e4/0ee4b6dbf2d232a6b8f745cb451eddd6/0117778844.jpeg "Mirantis will Swarm weiterhin als Orchestrator-Option innerhalb der eigenen Kubernetes-Engine anbieten und weiterentwickeln. (Bild: <u><a href=https://unsplash.com/@dmosipenko>Dmitry Osipenko</a></u>)")