kalafoto - stock.adobe.com
5 Tipps für die Sicherheit von Containern
Vertrauenswürdige Container-Quellen, Zugriffsrechte und in die Bereitstellung integrierte Sicherheit. Mit diesen Tipps lassen sich die Risiken der Container-Nutzung reduzieren.
Damit Unternehmen die Sicherheit von Containern über den gesamten Lebenszyklus hinweg gewährleisten können, gilt es eine Vielzahl sich verändernder Komponenten in den Phasen vor und während der Laufzeit im Blick zu behalten. Mit diesen fünf Tipps meistern Sie diese Herausforderungen mühelos:
1. Der Container-Registry vertrauen
Es mag banal erscheinen, doch die Weichen auf dem Weg zum Erfolg stellen sich gleich zu Beginn. Erlauben Sie Zugriffe ausschließlich von vertrauenswürdigen und bestenfalls internen Container-Registries und denken Sie Sicherheit von Anfang an mit. Ihre Mitarbeiter sollten öffentliche Container-Images erst dann herunterladen, wenn diese Images zuvor gescannt und validiert wurden.
2. Ohne Zero Trust geht nichts
„Vertraue nichts und niemandem!“ – Was schon im Kindesalter ein valider Rat war, hat sich auch in der IT-Security bewährt. Gerade mit Blick auf Container sollten im Idealfall nur nicht-privilegierte Container, welche keinen direkten Zugriff auf den Host haben, laufen. Ganz im Sinne von Zero Trust gilt: Zugriffsrechte bitte nur dann erteilen, wenn sie für die Ausführung der jeweiligen Anwendung auch tatsächlich notwendig sind.
3. Mit Layered Security optimal vorgehen
Ein umfassender Schutz kommt nicht ohne Layered-Security, also einem mehrschichtigen Ansatz, aus. Aber wie sieht das konkret aus? Idealerweise sollten dazu die beiden Sicherheitsstrategien Pre-Runtime Container Build Security und Runtime-Level Container Security kombiniert werden.
Wichtig ist es zudem, Images auf Malware, Geheimnisse und Sicherheitslücken in Open-Source-Paketen zu untersuchen. Gleichzeitig werden Security auf Kubernetes-Cluster-Ebene bereitgestellt sowie kontinuierlich Registry-Images auf neue Bedrohungen hin überprüft. So rückt das Ziel „Container Security“ in greifbare Nähe.
„Erlauben Sie Zugriffe ausschließlich von vertrauenswürdigen und bestenfalls internen Container-Registries und denken Sie Sicherheit von Anfang an mit.“
Udo Schneider, Trend Micro
4. Integration als Schlüssel zum Erfolg
Alle bisherigen Tipps notiert und befolgt? Dann geht es jetzt an die Königsdisziplin: Die Akzeptanz der Maßnahmen und deren Umsetzung in die Praxis. Aktiv gefördert wird dies beispielsweise, indem Containersicherheit unmittelbar in die derzeit verwendeten Tools integriert wird. Images können bereits während des Erstellvorgangs auf mögliche Probleme hin überprüft werden (wenn CI/CD-Verfahren zum Einsatz kommen). Denn es ist wesentlich einfacher, auftretende Schwierigkeiten bereits während des Build-Prozesses und noch vor der Runtime zu beheben
Auftretende Sicherheitsvorfälle nach der Bereitstellung können anhand implementierter Kontrollen von bereitgestellten Images in der Laufzeitumgebung vermieden werden. Um dies zu gewährleisten, sollten Strategien wie Zugriffskontrollen auf Cluster-Ebene zum Einsatz kommen. Darüber hinaus wird die Bereitstellung erleichtert, wenn Container-Sicherheit mit nativen Anwendungen wie Helm einhergeht.
5. Die Angriffsfläche reduzieren
Zum Abschluss fehlt nur noch eines: Der Einsatz von gescannten und zuverlässigen Container-Images gewährleistet, dass die Entwicklung der Anwendung auf einer sicheren Grundlage erfolgt. Alternativ können auch neue Distroless-Container-Images verwendet werden. Damit reduziert sich die Angriffsfläche – gerade, wenn neue Konzepte wie Distroless-Images zum Einsatz kommen. Diese verschlanken das Image so, dass nur die Abhängigkeiten und Pakete ausgeführt werden können, welche die Anwendung tatsächlich benötigt.
Über den Autor:
Udo Schneider ist IoT Security Evangelist bei Trend Micro.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.