Sicherer Container (Secure Container)
Ein sicherer Container ist ein leichtgewichtiges, ausführbares Softwarepaket, das von anderer Software oder Prozessen isoliert wurde, die auf demselben virtuellen oder physischen Host laufen. Der Zweck der Containerisierung (auch als Sandboxing bekannt) besteht darin, Eindringlinge und bösartigen Code daran zu hindern, mit anderen Anwendungen und Daten in unbefugter Weise zu interagieren.
Im mobilen Sicherheitskontext kann ein sicherer Container zum Beispiel aus einem logischen Bereich des Smartphones eines Mitarbeiters bestehen, in dem Unternehmensanwendungen und -daten von den persönlichen Daten und Anwendungen des Besitzers isoliert sind. Dieser Ansatz zur Verwendung sicherer Container im Mobile Device Management (MDM) wird auch als Dual Persona bezeichnet.
Heute haben Sicherheits- und Isolationsbedenken bei Containern höchste Priorität für Industrieanbieter, die ihre Anwendungen in Dienste und Microservices aufgeteilt haben. Zu den Strategien zur Gewährleistung der Sicherheit von Containern gehören die Reduzierung der Angriffsflächen in Container-Images, die Vermeidung von öffentlichen Container-Images und die Implementierung rollenbasierter Zugangskontrollen (Role Based Access Control, RBAC) zur Einschränkung von Privilegien.
Containersicherheitsstrategien versuchen einzuschränken, was ein Container-Root-Benutzer außerhalb des Containers oder des Hosts, auf dem der Container läuft, tun kann. Während die meisten der bekanntesten Techniken in der Containersicherheit den Zugriff von Angreifern auf Hosts und andere Backend-Systeme von kompromittierten Containerinstanzen aus einschränken, warnen Experten davor, dass die Verhinderung des unbefugten Zugriffs auf Programmierschnittstellen (APIs) ebenfalls von zentraler Bedeutung ist.
Der Markt für sichere Container-Tools ist noch im Entstehen begriffen, und die Auswahl und das Finden des richtigen Tools kann schwierig sein, insbesondere wenn große Sicherheits- und DevOps-Teams die Verantwortung für containerisierte Anwendungen teilen. Zum Beispiel kann die Entscheidung, ob Trend Micro oder Twistlock eingesetzt wird, darauf hinauslaufen, ob der Kunde es vorzieht, dass die Containersicherheit ein Featureset eines umfassenderen SIEM-Produkts (Security Information and Event Management) ist oder ein dediziertes Produkt bleibt, auf das sich die Expertise des Sicherheitsanbieters allein konzentriert.