proservia-container

Container-Sicherheit: Was müssen Sie beachten?

Container – also eine „leichte“ Virtualisierung von Anwendungen –  werden immer populärer. Deswegen erhält auch der Schutz der Daten durch Backups und die Sicherheit eine erhöhte Bedeutung. Wir zeigen Ihnen, was Sie beachten müssen.

Container bringen einen kleinen Geburtsfehler mit sich. Ursprünglich haben die Urheber nämlich keinen Gedanken an Sicherheit und Datenschutz verschwendet, weil dies für Minimaschinen mit einer Lebensdauer von Sekundenbruchteilen überflüssig erschien. Mittlerweile ist das Einsatzspektrum breiter geworden und das Thema Security in den Fokus gerückt.

Was sind Container?

Container sind kleine virtuelle Konstrukte, mit denen Micro-Services ausgeführt werden können. Sie enthalten ein Minibetriebssystem und die nötigen Anwendungen, um ihren Zweck zu erfüllen. Container und Micro-Services sind nicht identisch und bedingen einander nicht immer.

Die populärsten Container-Plattformen sind Docker und Kubernetes. Sowohl Docker als auch Kubernetes nutzen das Open-Source Lizenzmodell und sind nicht unbedingt als Konkurrenten anzusehen, sondern können sich durchaus ergänzen. Mittlerweile ist Kubernetes aber das führende System.

Vorteile von Containern

Container sind eine Abart virtueller Maschinen (VM). Traditionelle VMs müssen aber eingerichtet und konzipiert werden. Anschließend sind noch Patches und Upgrades nötig und es können Lizenzgebühren anfallen.

Im Gegensatz dazu sind Container auf Schnelligkeit und Leichtgewicht ausgerichtet. Es ist keine spezielle VM für jede Anwendung erforderlich, sondern verschiedene Container können sich den Betriebssystem-Kernel teilen und benötigen deshalb weniger Ressourcen. Während VMs leicht mehrere Gigabytes (GBs) groß werden können, sind Container in der Regel nicht größer als 100 Megabyte (MB). Während VMs gebootet werden müssen, was einige Zeit in Anspruch nehmen kann, sind Container sehr schnell einsatzbereit.

Warum Backup und Security bei Containern nötig ist

Das ursprüngliche Konzept der Container sah vor, dass sie sehr kurzlebig sein sollten und wieder verschwinden sollten, nachdem sie ihre Aufgabe erfüllt haben. Dafür war kein dauerhafter Speicher erforderlich.

Mit dem wachsenden Einsatzbereich von Containern hat sich das aber geändert. Die Anwendung alleine sollte eigentlich die Datenpersistenz sicherstellen, dies erwies sich allerding als impraktikabel.

Es zeigte sich zudem, dass Container und Micro-Services wertvolle Datenquellen für Einsatzbereiche wie Analyse, Künstliche Intelligenz, Maschinenlernen und Data Science sein können. Diese wertvollen Daten müssen gespeichert und abgesichert werden. Für umfassende Sicherheit sind sowohl Backup als auch Security nötig.

Backup problematisch

Torsten Volk, Managing Research Director, Containers und DevOps, bei Enterprise Management Associates (EMA), schildert die Probleme beim Backup von Containern: „Treiber für persistente Block Storage zu nutzen, die dynamisch mit Micro-Services in Containern verbunden sind, hat sich als schwierig erwiesen, weil Block Storage nicht für dynamisches Mapping ausgelegt ist. Dies kann im schlimmsten Falle zu Problemen mit der Data Integrität führen.“

Auch bei der Compliance hakt es: „Unternehmen tun sich schwer damit, ein Audit Log zu führen, das Compliance-Anforderungen erfüllt. Bei Containern ist dies wegen deren Mobilität und Kurzlebigkeit sehr viel schwerer als bei virtuellen Maschinen.“

Speziell zum Backup merkt Volk an: „Kubernetes bietet zwar eingebaute Redundanz, aber Unternehmen müssen für Backup und Archiv Policies einhalten. Es ist problematisch, das Tooling, das normalerweise für VMware vSphere ausgelegt ist, auf Kubernetes zu übertragen.“

Sicherheitslösungen nötig

Traditionelle Sicherheitslösungen werden durch die schnell beweglichen Container überfordert. Erst seit kurzem sind Security-Pakete erhältlich, die auf Container ausgerichtet sind. Dabei müssen folgende Aspekte beachtet werden:

  • Die Sicherheit des Container-Hosts
  • Der Container-Netzwerkverkehr
  • Die Sicherheit Ihrer Anwendung innerhalb des Containers
  • Bösartiges Verhalten innerhalb Ihrer Anwendung
  • Sichern Ihres Containerverwaltungsstapels
  • Die Grundschichten Ihrer Anwendung
  • Die Integrität der gebauten Pipeline

Entwicklungs- und Sicherheitsanforderungen

Wenn Sie den Container-Host ausführen, müssen Sie sicherstellen, dass er gesperrt ist, gut gewartet und aktiv überwacht. Sie sollten dann eine Ebene von Sicherheits- und Überwachungsinstrumenten hinzufügen, um sicherzustellen, dass Ihr Host so läuft, wie man es erwarten würde. Werkzeuge wie Application Control sind dafür sehr nützlich.

Die Herausforderung besteht darin, den Verkehr zwischen den Containern zu überwachen und zu sichern. Sobald Ihr Container in Produktion ist, verändert er sich ständig. Es verarbeitet Daten für Ihre Anwendungen, Erzeugen von Protokolldateien, Caching von Dateien, und vieles mehr. Sicherheitskontrollen können helfen sicherzustellen, dass es sich hierbei nicht um ungewöhnliche Aktivitäten handelt.

Um sicherzustellen, dass jeder Container Ihren Entwicklungs- und Sicherheitsanforderungen entspricht, benötigen Sie einen automatischer Scanner. Ein guter Scanner sucht nach Malware, bekannten Schwachstellen und Geheimnissen oder vertrauliche Informationen wie API-Schlüssel (Application Programming Interface) und Token.

Die Build-Pipeline ist aktuell das Hauptziel von Angreifern. Sie haben begonnen, ihre Angriffe auf frühe Stadien Ihrer Pipeline für kontinuierlichen Integration/für kontinuierliche Lieferung (CI/CD) zu konzentrieren. Wenn ein Angreifer hier erfolgreich ist, kompromittiert er Ihre Build-Server, Code-Repository oder Entwickler-Workstations.

Es gibt keinen Königsweg, wenn es um Containersicherheit geht. Trotz der Einfachheit des Containers selbst kann die zugrunde liegende Infrastruktur ziemlich komplex sein. Diese Komplexität muss verstanden, überwacht und gesichert wie das kritische Gut, das es ist.

Proservia und Trend Mircro – eine starke Partnerschaft

Wie Sie sehen, ist Container-Sicherheit ein komplexes Thema. Deshalb sollten Sie auf ein ausgereiftes Paket eines renommierten Security-Anbieters setzen.

Proservia verbindet mit Trend Micro eine vertrauensvolle Partnerschaft im Bereich Security.  Trend Micro Cloud One™ Container Security bietet vereinfachte Sicherheit für Ihre Cloud-nativen Anwendungen durch automatisiertes Container-Image und Registry-Scanning.

 

Quelle Titelbild: iStock / taikrixel