IT-BUSINESS Aktion:

#ITfightsCorona

Risiken einer virtuellen Infrastruktur

Container haben Security-Lücken

| Autor / Redakteur: Otto Geißler / Peter Schmitz

Je erfolgreicher Container im Unternehmenseinsatz werden, desto größer wird das Risiko durch gezielte Angriffe.
Je erfolgreicher Container im Unternehmenseinsatz werden, desto größer wird das Risiko durch gezielte Angriffe. (Bild: gemeinfrei / Pixabay)

Container-Frameworks vereinfachen und beschleunigen die Anwendungsbereitstellung, indem sie Betriebssystem-Komponenten, Anwendungen und alle Abhängigkeiten in Schichten innerhalb eines Container-Images bündeln. Container erlauben eine agilere Gestaltung von Prozessen und Services, doch sie sind auch dem Risiko gezielter Angriffe ausgesetzt.

Container-Technologien ebnen den Weg von physischen, einzeln genutzten IT-Ressourcen hin zu effizienteren, virtuellen Multitenant-Infrastrukturen, die in traditionellen IT-Umgebungen sowie in der Cloud ausgeführt werden können. Denn mit Containern und den korrespondierenden Tools lassen sich Prozesse und Services im Unternehmen deutlich agiler anlegen. Das heißt, Anwendungen und Microservices können leichter programmiert, getestet, ausgerollt und administriert werden. Gleichzeitig sind Container flexibler, skalierbarer und ressourceneffizienter als zum Beispiel virtuelle Maschinen (VM).

Anfällige Copy-Funktion von Docker

Unit 42 warnt vor Root-Betrieb von Containern

Anfällige Copy-Funktion von Docker

09.12.19 - Um Container-Nutzern zu zeigen, wie sie einer im Juli durch Docker offengelegte Schwachstelle begegnen können, hat Palo Alto Networks die Erkenntnisse eines Proof of Concepts veröffentlicht. Die Ergebnisse stammen von Unit 42, dem Threat Intelligence Team des Sicherheitsanbieters. lesen

Welche Gefahren bergen Container?

Doch je erfolgreicher Container im Unternehmenseinsatz werden, desto größer wird das Risiko durch gezielte Angriffe. Gefahren lauern sowohl während der Entwicklung, als auch bei der Integration und Bereitstellung sowie im laufenden Betrieb.

Diese Risikoquellen beziehen sich auf die Container selbst, die verwendeten Orchestrierungs-Tools wie Kubernetes und die Infrastruktur. Dabei sind folgende konkrete Sicherheitsprobleme zu beachten:

  • Manipulierte Container, die Malware herunterladen oder interne Systeme nach Schwachstellen und sensiblen Daten auskundschaften.
  • DDoS-Attacken auf Anwendungsebene und Cross-Site-Scripting(XSS)-Angriffe.
  • Container-Breakouts, um auf andere Container, Host-Systeme oder Rechenzentren zuzugreifen.
  • Container werden dazu gezwungen, extrem viele Systemressourcen zu verbrauchen und die Leistung anderer Container zu reduzieren oder einen Crash zu erzielen.
  • Live-Patches für Anwendungen, um schädliche Prozesse zu etablieren.
  • Lücken in Kommunikationsprotokollen, die auch mit Containern verwendet werden.
  • Schwachstellen in der Verwaltungssoftware Kubernetes.
Container-Sicherheit mit Anchore und Clair

Ohne Schutz sind auch Container angreifbar

Container-Sicherheit mit Anchore und Clair

06.08.19 - Immer mehr Unternehmen setzen auf die Container-Technologie. Aus diesem Grund sind auch Lösungen notwendig, mit denen man die Sicherheit der Container und darin installierten Anwendungen sicherstellen kann. Wir zeigen wie man mit den Spezial-Tools Clair und Anchore und weiteren Schritten Container sicher machen kann. lesen

Was tun?

Zur Absicherung gegen diese genannten Gefahren, sollte sich die IT-Abteilung von drei verschiedenen Ansätzen, die sich nach den einzelnen Phasen der Implementierung orientieren, leiten lassen: Einrichtung, Bereitstellung und Einsatz.

In der Einrichtungsphase

Fokussierung auf die Beseitigung von Schwachstellen, Malware und unsicherem Code bei der Software-Entwicklung. Dafür ist es für IT-Abteilungen angezeigt, ein offizielles Container-Register einzurichten. Mit dieser Container-Registry sollen dann vertrauenswürdige Images erstellt werden.

Auf diese Weise wird ein Prozess etabliert und automatisiert, der verhindert, dass Container aus einer nicht vertrauenswürdigen Registry entstehen. Autoren können zum Beispiel mit „Docker Content Trust“ ihre hochgeladenen Images signieren. Beim Download verifiziert die lokale Docker-Installation des Users die Signatur und prüft, ob das Image aktuell ist und nicht korrumpiert wurde.

Darüber hinaus sollte sich die IT-Abteilung in dieser Phase folgende Fragen stellen: Werden alle Runtime- und Betriebssystem-Schichten des Containers aktualisiert? Wie oft werden die Container aktualisiert? Werden bekannte Risikoquellen überwacht?

In der Bereitstellungsphase

In dieser Phase erfolgt die Zusammenstellung der Container. Dabei soll beachtet werden, dass Images, die zwar kein Gefahrenpotenzial aufweisen, aber in einem unsicher konfigurierten Kubernetes-Pod deployt werden, eine Schwachstelle bleiben.

Wobei ein Pod meist aus einer Gruppe mehrerer Container mit gemeinsamem Speicher, Netzwerk sowie einem Regelwerk, wie die Container ausgeführt werden, besteht. Bei der Konfiguration müssen für die Orchestrierung und Container-Engine Sicherheits-Standards erstellt und realisiert werden. Dazu können zum Beispiel die Benchmarks für Docker und Kubernetes des Center for Internet Security (CIS) herangezogen werden.

Auf diese Weise lässt sich der Zugriff von außen steuern oder verhindern. Experten raten zu einer privaten Registry, um den Zugriff auf die Images, die im Einsatz sind, zu administrieren. In diese Registry dürfen nur geprüfte Images Einzug erhalten. Der Zugang wird über rollenbasierte Zuweisungen reguliert.

Darüber hinaus sollte sich die IT-Abteilung in dieser Phase folgende Fragen stellen: Welche rollenbasierten Kontrollen können für die Administration von Container-Images zum Einsatz kommen? Können Images über Tagging- oder Kennzeichnungsfunktionen gruppiert werden? Lassen sich Images jeweils einzeln für Entwicklung, Prüfung und Produktion als validiert markieren? Leistet die Registry ausreichend Meta-Daten, um bekannte Schwachstellen zu identifizieren? Erlaubt es die Zugriffsverwaltung, Richtlinien zuzuordnen und zu automatisieren, um zum Beispiel Signaturen zu evaluieren oder Scans zu codieren?

In der Einsatzphase

Nicht nur in den vorbereitenden Phasen, sondern auch während der Laufzeit müssen neue Gefahrenquellen und Lücken in den Containern entdeckt werden. Dazu zählen beispielsweise ungewöhnliche Aktivitäten, die auf eine Zero-Day-Schwachstelle hinweisen. Zu diesem Zweck muss ein Normalzustand definiert und Abweichungen dazu festgestellt werden.

Insgesamt gestaltet sich die Sicherheit in der Einsatzphase als weniger problematisch. Werden Security-Probleme erst während des Betriebs entdeckt und behoben, ist die Wahrscheinlichkeit groß, dass sie immer wieder auftreten, weil die Probleme bereits im erstellten Image liegen.

Es sollten stets Richtlinien beachtet werden, die im Ernstfall automatisch Rebuilds der Container veranlassen. Denn es ist meist effizienter, einen Container neu zu bauen als ihn patchen zu müssen.

Darüber hinaus sollte sich die IT-Abteilung in dieser Phase folgende Fragen stellen: Existieren Tools zur Komponentenanalyse, die Probleme erkennen können? Ist es möglich, Werkzeuge zu entwickeln, die eine automatische richtlinienbasierte Implementierung gewährleisten? Wie lässt sich ein Patching erstellter Container umgehen, um Container per automatische Updates neu zu erstellen?

Container-Sicherheit braucht passende Tools

Anforderungen an Container Security

Container-Sicherheit braucht passende Tools

03.07.17 - Beim Einsatz von Container-Technologien für Applikationsentwicklung und -betrieb werden immer wieder Sicherheitsbedenken geltend gemacht. Für die weitere Verbreitung ist deshalb eine hohe IT-Sicherheit erforderlich. Mit dem Einsatz adäquater Tools ist sie aber mit vertretbarem Aufwand realisierbar. lesen

Infrastruktur

Eine weitere Angriffsfläche bietet die zugrundeliegende Infrastruktur. Zu diesem Zweck muss die vom Host-Betriebssystem bereitgestellte Isolierung gecheckt werden. Um Zugriffe über andere Container oder Breakouts abzuwehren, muss das System eine maximale Container-Trennung aufweisen.

Für eine optimierte Stabilität der Container-Plattform empfiehlt sich der Einsatz von Namespaces. Dadurch werden Anwendungen und Umgebungen getrennt bez. verschiedene virtuelle Instanzen eines Hosts und eines Kernels definiert und getrennt nutzbar.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46613385 / Cloud)