kalafoto - stock.adobe.com

Fünf Tipps für sichere Software-Container

Immer mehr Unternehmen entwickeln Software auf Basis des Container-Prinzips. Dabei bleibt manchmal die Sicherheit auf der Strecke. Mit diesen Tipps lässt sich diese gewährleisten.

Der Einsatz von Containern ist inzwischen in vielen Unternehmen Alltag. Dabei gelten inzwischen Docker-Images als Quasi-Standard. Sie laufen meist in einer Kubernetes- oder OpenShift-Umgebung. Im Zuge der deutlich schnelleren Prozesse wird aber häufig die Sicherheit vernachlässigt. Die nachfolgenden Tipps helfen dabei, dieser Problematik zu begegnen.

Laut dem State of Open Source Security Report 2019 werden inzwischen alle zwei Wochen mehr als eine Milliarde Docker-Container heruntergeladen. Container-Images kommen heute bei verschiedenartigen Anwendungen zum Einsatz. Die Skala reicht von Basis-Betriebssystemen über Datenbanken und Middleware bis hin zu App-Engines, die node.js, Python und Go unterstützen. Dazu gehören sogar umfassende Systemintegrationen für Anwendungsdienste.

Große Gefahren lauern

Wer Docker-Images nutzt, hat aber wahrscheinlich ein Sicherheitsproblem. Die erwähnte Studie von Snyk ergab, dass „jedes der zehn beliebtesten Standard-Docker-Images mindestens 30 verwundbare Systembibliotheken enthält“. Entsprechend werden von Unternehmen häufig Docker-Images mit zahlreichen Sicherheitslücken heruntergeladen und eingesetzt. Laut Snyk nimmt dabei die Anzahl der Schwachstellen in allen drei großen Linux-Distributionen stetig zu.

Kein Wunder also, dass gemäß der Umfrage State of Container Security 2019 von Tripwire nicht weniger als 60 Prozent der Teilnehmer in den letzten zwölf Monaten einen Vorfall mit der Containersicherheit erlebt haben. Für fast jeden fünften (17 Prozent) liegt das wahrscheinlich daran, dass das Unternehmen die Schwachstellen zwar kannte – aber trotzdem die Software einsetzte. Dies kann an verschiedenen Gründen liegen, etwa einer zu dünnen Personaldecke, Zeitdruck, Vermeidung von scheinbar unnötigem Mehraufwand oder dem Eingehen eines kalkulierten Risikos, um Kosten zu sparen. Dieses Vernachlässigen der Security ist jedoch nicht Container-spezifisch, sondern gilt für fast alle IT-Prozesse.

Höhere Sicherheit

Dabei wären die Sicherheitslücken oft einfach zu vermeiden. Laut Snyk waren für 44 Prozent der Docker-Images, die bekannte Schwachstellen enthielten, neuere und sicherere Basis-Images verfügbar. Mit anderen Worten: Das Risiko wäre deutlich geringer gewesen, wenn man einfach nur ein aktuelles Image genutzt hätte. Weitere 22 Prozent der Images mit Schwachstellen hätten durch einen einfachen Neuaufbau des Images ersetzt werden können. Dies wird häufig durch eingefahrene Prozesse oder einem nicht ausreichendem Sicherheitsbewusstsein verhindert.

Tipps zur-Container-Sicherheit

Für eine Verbesserung der IT-Security ist daher neben dem Einsatz entsprechender Lösungen für die allgemeine Softwaresicherheit wie BOT-Abwehr, Web Application Firewalls oder Identitäts- und Zugriffskontrolle auch die Nutzung von Best Practices bei der Entwicklung und Bereitstellung von Anwendungen nötig. Dazu gehören nicht nur das Scannen von Code und Containern nach bekannten Schwachstellen und deren Behebung durch Patches oder Neuerstellung. Insgesamt sollten Unternehmen folgende Tipps beherzigen:

Die Nutzung analysieren. Viele Unternehmen wissen nicht, wie weit verbreitet ihr Einsatz von offenen und Drittanbieter-Produkten bei Images wirklich ist. Dieses Problem müssen sie durch eine umfassende Analyse der Systeme in den Griff bekommen. Denn Unternehmen können keine Schwachstellen in Software beheben, von der sie nicht einmal wissen, dass sie diese verwenden.

Standardisierung. Unternehmen sollten eine gemeinsame Basis für Anwendungen und Prozesse finden und diese mit Hilfe von so wenigen Container-Images und Komponenten wie möglich standardisieren. Dabei sind auch DevOps-Umgebungen in Enterprise Security Tools wie Applikationsschutz, Zugriffsregeln, DDoS-Abwehr, Firewalls, Proxies, etc. zu integrieren, damit diese einheitlich in allen Systemumgebungen einsetzbar sind.

Ralf Sydekum, F5 Networks

„Unternehmen müssen nicht nur sich selbst, sondern auch ihre Kunden schützen. Daher sollten sie mit Hilfe einfacher Best Practices für höhere Sicherheit ihrer Software-Container sorgen.“

Ralf Sydekum, F5 Networks

Sicherheit der Container-Pipeline und Anwendungen. Container-Images sollten nur von vertrauenswürdigen Quellen heruntergeladen und auf Schwachstellen geprüft werden. Die nötigen Softwaremodule wie Libraries, Runtime oder Betriebssystem dürfen nur in der jeweils aktuellen Version zum Einsatz kommen. Zudem muss der Zugriff auf alle Module in der Nord-Süd-Kommunikation zwischen Nutzer und Anwendung per Identity & Access Management (IAM) geregelt sein.

Schutz der Infrastruktur. Container sind in das Host-Betriebssystem integriert und sollten von diesem bestmöglich gegenüber anderen Medien isoliert werden. Netzwerk-Namensräume können Anwendungen und Umgebungen abgrenzen. Eine API-Management-Lösung sollte Authentifizierung, Autorisierung, LDAP-Integration, Endpunkt-Zugriffskontrolle und Rate-Limits bieten. Damit lassen sich Zugriffsregeln für die Ost-West-Kommunikation zwischen den Containern definieren. Die Security-Maßnahmen benötigen auch eine ausreichende Skalierung und Automation.

Sichere Code-Reviews und Container-Audits. Wer Komponenten oder Skripte von Drittanbietern nutzt, sollte diese überprüfen und sie aus einem privaten Repository heraus bereitstellen oder neu entwickeln. Images von Drittanbietern sind ebenfalls zu überprüfen und deren Sicherheit zu zertifizieren sowie aus einem privaten Repository heraus bereitzustellen. Viele Anbieter von Images oder Quellcode informieren über potenzielle Schwachstellen in ihren Produkten. Unternehmen sollten aber auch unabhängige Infodienste abonnieren.

Fazit

Eine höhere Geschwindigkeit in der Entwicklung von Anwendungen ist wichtig. Doch diese darf nicht auf Kosten der Sicherheit gehen. Unternehmen müssen nicht nur sich selbst, sondern auch ihre Kunden schützen. Daher sollten sie mit Hilfe einfacher Best Practices für höhere Sicherheit ihrer Software-Container sorgen.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.

Nächste Schritte

Gratis-eBook: Container sicher einsetzen

Gratis-eBook: Das Wichtigste zur Containertechnologie

Container-Sicherheit: Die Schwachstellen minimieren

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit