Binkski - stock.adobe.com

Container-Nutzung: So ändern sich die Security-Aspekte

Ihre hohe Skalierbarkeit und Effizienz machen Container für viele Firmen interessant. Die Technik entwickelt sich aber laufend weiter und erfordert neue Sicherheitskonzepte.

Wenn eine Beweisführung notwendig gewesen wäre, wie schnell manchmal Technologien in produktiven Umgebungen Einzug halten, dann wäre Docker ein ganz gutes Beispiel dafür. 2019 ist die Einführung von Docker 1.0 gerade einmal fünf Jahre her.

Seit die Software damals eingeführt wurde, gab es einen enormen Schub beim Einsatz von Containern und bei den sie umgebenden Ökosystemen. Denken wir nur zum Beispiel an die immer stärkere Nutzung von Cloud-Diensten auf Basis von Containern oder an die starke Verbreitung von Tools zur Orchestrierung, mit denen sich auch große Container-Umgebungen steuern lassen. Auch die Nutzungszeiten einzelner Container sind ebenfalls stark angestiegen.

Nach Erkenntnissen des Cloud-Monitoring-Spezialisten Datadog hatten sich im Juni 2018 bereits knapp 24 Prozent aller Unternehmen für Docker entschieden. Die Container-Lösung läuft damit auf mehr als 20 Prozent aller Hosts. Dieses Wachstum ist enorm. Es ist nur vergleichbar mit äußerst erfolgreichen Technologien wie der Virtualisierung und Cloud Computing, die mittlerweile aus der modernen IT ebenfalls nicht mehr wegzudenken sind.

Aber auch bei der Absicherung der Container hat es einige Änderungen gegeben. Allein in den vergangenen beiden Jahren hat sich die Zahl der bekannt gewordenen Container-bezogenen Schwachstellen nach Informationen von Skybox Security um rund 240 Prozent erhöht. Einige dieser Sicherheitslücken sind äußerst gefährlich und erinnern zum Beispiel an die gravierende Dirty COW-Lücke, die neun Jahre lang unentdeckt im Linux-Kernel schlummerte.

Zu den in letzter Zeit bekannt gewordenen Container-Schwachstellen gehört mit runC eine weitere Sicherheitslücke, über die sich Angreifer Root-Zugriff verschaffen können. Ein anderes Beispiel ist die Docker Skeleton Runtime for Apache OpenWhisk, über die Cyberkriminelle Code der Anwender überschreiben konnten. Eine weitere Schwachstelle wurde auch in zur Orchestrierung genutzten Plattformen wie Kubernetes gefunden. Ein Angreifer kann sie ausnutzen, um mit Hilfe des „kubectl cp“-Kommandos eigenen Code über manipulierte Archive auf fremden Rechnern einzuschleusen.

Wenn man bedenkt, wie viel sich verändert hat und wie schnell weitere Änderungen kommen werden, wird erst richtig klar, wie wichtig eine effiziente Absicherung der Container-Umgebungen ist. Dazu sollte man sich aber zunächst klarmachen, was alles anders als früher ist, was gleich geblieben ist und wie IT-Security-Profis bei diesem hohen Tempo noch Schritt halten können.

Was hat sich in der Container-Security verändert?

Viele der wichtigsten Faktoren, wenn es um Änderungen der Sicherheit von Containern geht, hängen mit zwei Punkten zusammen: Nutzung und Reifegrad. In Anbetracht der stark zunehmenden Nutzung ist klar, dass es auch immer mehr spezialisierte Sicherheitsprodukte für Container auf dem Markt gibt. Sie reichen von Container-spezifischen IDS-Systemen (Intrusion Detection System) von zum Beispiel Alert Logic oder Qualys über Lösungen zur Bekämpfung von Bedrohungen und zum Schutz aktiver Systeme wie StackRox oder Aqua bis zu kompletten Suiten zum umfassenden Schutz von Container-Umgebungen, wie sie von Palo Alto und anderen Unternehmen angeboten werden.

Ähnlich wie die Nutzung zunimmt, ist es auch beim Reifegrad. Im selben Tempo wie der Markt immer reifer wird, ist auch ein Trend zur Konsolidierung zu sehen. So hat zum Beispiel Palo Alto bereits Twistlock übernommen und Qualys hat Layered Insight geschluckt.

Auch bei den technischen Aspekten der Container-Sicherheit gibt es rasante Entwicklungen. So finden sich nun auch in Lösungen zur Orchestrierung von Containern immer mehr Security-bezogene Funktionen. Dazu kommt, dass die Segmentierung von Containern konsequent vorangetrieben wird. Auch dies spricht für den zunehmenden Reifegrad der Container-Technologie. Das lässt sich zudem am Linux-Kernel belegen. Dort wurden in der jüngeren Vergangenheit viel Zeit und Energie aufgewendet, um die sogenannten Namespaces zu härten und auszuweiten. Mit ihnen lassen sich Kernel-Ressourcen besser aufteilen. Mit der Version 4.6 wurden beispielsweise Cgroup-Namespaces im Linux-Kernel eingeführt. Weitere sind in Planung.

Standardisierungen und rechtliche Vorgaben sowie Empfehlungen werden entwickelt, wenn es in einem Bereich zu einem höheren Reifegrad kommt. So wurde mittlerweile etwa der App Container Standard vorgestellt, der zahlreiche Vorgaben zum Umgang mit Containern enthält. Dazu kommen Ratgeber wie der vom NIST (National Institute of Standards and Technology) entwickelte „Application Container Security Guide“ (SP 800-190) (PDF). In ihm finden sich Empfehlungen für Unternehmen, die in die Container-Technik einsteigen und dabei keine sicherheitsrelevanten Fehler machen wollen. Der Ratgeber enthält auch Hinweise zur Durchführung von Risikoeinschätzungen bei der Nutzung von Containern, Tipps zu einem sicheren Lifecycle sowie Beispiele zu Bedrohungsszenarien und weitere Tipps zu einem sicheren Deployment von Containern.

Wie ändert sich dadurch das Vorgehen zur Absicherung Ihrer Container?

Auf die Gesamtheit bezogen haben sich die Aufgaben in den letzten Jahren nicht sehr geändert, die Security-Profis erledigen müssen, um ihre Container zu schützen. Natürlich hat sich etwa bei der Segmentierung der Container einiges getan, aber es gibt zum Beispiel immer noch Bereiche unter Linux, die noch nicht von Namespaces betroffen sind.

In Anbetracht der Unterschiede bei der Segmentierung von Containern im Vergleich zu einer Virtualisierung von kompletten Betriebssystemen, gibt es gerade in Multi-Tenant-Umgebungen noch einiges zu beachten. Für die Absicherung der Container verantwortliche Admins müssen ein besonderes Augenmerk auf die Gruppierung von Containern werfen. Für welche Aufgaben sind sie ausgelegt, wie kritisch oder sensibel sind die in ihnen erfassten Daten und welche Arten von Daten werden in ihnen verarbeitet?

Speziell für Container-Umgebungen entwickelte Tools bieten in der Regel umfangreichere Sicherheitsfunktionen im Vergleich zu Lösungen, die aus anderen Gründen entwickelt oder für traditionelle Infrastrukturen ausgelegt wurden. Diese Aussage war schon im Bezug auf die Themen Cloud und Virtualisierung richtig. Sie trifft aber auch bei Containern zu. Insbesondere Werkzeuge zum Scannen nach Schwachstellen, zum Aufspüren von Eindringlingen, zum Inventarisieren und Aufspüren von Containern oder auch zum Auditieren müssen an Container-Umgebungen angepasst werden. Nur dann lassen sich die besten Ergebnisse damit erzielen.

Die Tatsache, dass das Container-Ökosystem mittlerweile einen hohen Reifegrad erreicht hat, wirkt sich auch positiv auf die Käufer dieser Tools aus. Ihnen stehen nun weit mehr Möglichkeiten und Optionen zur Verfügung. Das Kernproblem bleibt dadurch aber unverändert: Legacy-Tools, die nicht speziell für Container-Umgebungen entwickelt wurden, müssen nur noch in speziellen Fällen eingesetzt werden. Dediziert für Container ausgelegte Tools bieten meist zahlreiche Vorteile.

Die Sicherheit von Docker zwischen 2014 und 2019

Seit dem Release von Docker 1.0 im Jahr 2014 haben sich vor allem zwei Dinge geändert. Einmal haben wurden die genutzten Betriebssysteme an die Container-spezifischen Gegebenheiten angepasst und zum anderen gab es direkt in den Unternehmen einige Änderungen bei der Nutzung von Containern.

Bei den Betriebssystemen gab es sowohl in kommerziellen als auch in anderen Bereichen zahlreiche Anpassungen, damit sie besser mit Containern zusammenarbeiten. Sie sind auf ihre Art einzigartig, da die neuen OS-Versionen ohne viele der bislang üblichen Services und Features auskommen, die moderne Betriebssysteme normalerweise haben. Deswegen ist es heutzutage auch nicht mehr nötig, sich selbst um angepasste, minimale OS-Images zu kümmern, die dann für die eigenen Container genutzt werden. Diese Anpassungen individuell vorzunehmen war früher ein sehr aufwendiger Prozess. Stattdessen können Entwickler heute aus diversen Angeboten wählen, die gezielt zur Nutzung in Containern entwickelt wurden.

Die zunehmende Ausgereiftheit von Containern hat auch zu einigen Änderungen in der Unternehmenskultur geführt. Immer mehr Firmen setzen jetzt Container produktiv ein und integrieren sie in ihre Prozesse. Dadurch wachsen auch die Kenntnisse über Container kontinuierlich. Viele IT-Security-Spezialisten verfügen mittlerweile über Erfahrungen im Umgang mit Containern und wissen, wie sie sie schützen können. Das sorgt dafür, dass auch ihre anderen Kollegen in den Unternehmen sich intensiver mit den Themen IT-Sicherheit und Container beschäftigen. Es ist gar nicht so lange her, als es noch äußerst schwierig war, IT-Sicherheitsspezialisten dazu zu bringen, sich mit Containern auseinanderzusetzen. Je mehr die Nutzung sich jedoch weiter verbreitet, desto leichter wird diese Aufgabe. Dank dieser Veränderungen ist es einfacher geworden, sicherheitsrelevante und Container-spezifische Überlegungen miteinander zu verbinden.

Der Einsatz von Containern hat die moderne IT nachhaltig verändert. Diese Entwicklung wird sich auch in Zukunft weiter fortsetzen. Auch wenn bislang noch nicht alle Unternehmen auf Container umgestiegen sind, wird dies wohl nicht mehr lange dauern. Dadurch entstehen neue Möglichkeiten für IT-Security-Profis, die jetzt schon bereit sind, sich mit der Materie intensiver auseinanderzusetzen.  

Nächste Schritte

Gratis-eBook: Container sicher einsetzen

Gratis-eBook: Das Wichtigste zur Container-Technologie

Tipps für sichere Container-Nutzung

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit