Gehärtet, einsatzbereit und kostenlos: Die Container-Sicherheit entwickelt sich weiter

Heute geben wir die allgemeine Verfügbarkeit (General Availability, GA) von Red Hat Hardened Images bekannt. Hierbei handelt es sich um einen kostenlosen Katalog von Container Images, der Sicherheitskorrekturen schnell bereitstellt. So unterstützen wir Teams dabei, CVEs proaktiv zu bewältigen, statt sie ständig zu verfolgen. Wir haben die aufwendige Image-Verschlankung und -Härtung übernommen, damit Ihre Teams keine Zeit mehr mit Fehlalarmen verlieren und sich auf das Wesentliche konzentrieren können: Ihren Code und die Sicherheit Ihrer Anwendungen.

Wir haben diese Entwicklung mit Project Hummingbird begonnen. Wenn Sie das Projekt verfolgt haben, konnten Sie miterleben, wie wir Inhalte, Images und Bereitstellungsstrategien mit Hunderten von Early-Access-Nutzenden optimiert haben. Was als Experiment zur Reduzierung der Angriffsfläche für Container begann, hat sich zu einem produktionsfähigen Katalog mit über 45 Images und mehr als 150 Varianten entwickelt, die alle auf der vertrauenswürdigen Software-Pipeline von Red Hat basieren. Project Hummingbird wird weiterhin der Innovationstreiber sein, der Red Hat Hardened Images erstellt. 

Abbildung 1. Katalog für gehärtete Images

Das Problem: Hohe CVE-Dichte trifft auf Null-Toleranz-Richtlinien

Wir haben Project Hummingbird gestartet, nachdem wir mit Dutzenden von Organisationen gesprochen und immer wieder die gleiche Frustration gehört hatten: Container-Sicherheit war zu einem teuren Zeitfresser geworden.

Die Anzahl der CVEs ist über das Maß hinaus explodiert, das Teams angemessen bewältigen können. Derzeit werden durchschnittlich etwa 160 CVEs pro Tag gemeldet. Aufgrund von automatisierten Scannern und KI-gestützten Discovery-Tools gehen wir davon aus, dass diese Zahl weiter steigen wird. Ein einziger Container-Scan kann Hunderte von Schwachstellen identifizieren. In einem großen Bestand mit Zehntausenden von Containern herauszufinden, welche davon wirklich wichtig sind, kann sich wie ein Kampf gegen Windmühlen anfühlen.

Die Risikotoleranz sinkt unter regulatorischem, geopolitischem und KI-bezogenem Druck. Compliance-Frameworks und organisatorische Sicherheitsrichtlinien erfordern von Teams zunehmend, jede identifizierte Schwachstelle zu beheben, unabhängig von deren Ausnutzbarkeit. Wenn Container Images nicht benötigte Pakete und Abhängigkeiten enthalten, ist dieser Standard kaum zu erfüllen.

Die Lösung: Weniger Angriffsfläche, schnellere Korrekturen

Red Hat Hardened Images unterstützen Nutzende, die dem Druck dieser neuen Realität ausgesetzt sind. Weniger Software bedeutet weniger CVEs. Wenn Ihr Image nur die Komponenten enthält, die Ihre Anwendung zur Ausführung benötigt, wird die Entscheidung einfacher: Was im Image enthalten ist, ist wichtig. Und wenn es darauf ankommt, liefert unsere hochgradig autonome Pipeline schnell Korrekturen aus.

Red Hat Hardened Images konzentriert sich auf Technologien, bei denen Red Hat über Upstream-Engagement sowie Produktionserfahrung verfügt und sinnvollen Support bereitstellen kann. Der GA-Katalog umfasst Sprachen, Runtimes, Datenbanken, Webserver und Dienstprogramme, die Unternehmens-Workloads unterstützen, darunter unter anderem Python, Node.js, Go, Java, .NET, PostgreSQL, Valkey, Nginx und HAProxy. Diese stellen die zentralen Open Source-Komponenten dar, die laut Organisationen als Basis für ihre Anwendungen am wichtigsten sind.

Wir erweitern den Katalog und gehen dabei bewusst vor. Wenn wir ein neues Image hinzufügen, verpflichten wir uns dazu, die primäre Technologie sowie alle relevanten Abhängigkeiten und Schwachstellen genau zu überwachen. So können wir den Support mit der gleichen Sorgfalt bereitstellen, die wir für den Rest des Katalogs anwenden. Wir priorisieren Qualität vor Quantität.

Jedes Image folgt einem konsistenten Härtungsansatz: 

• Distroless-Architektur: Images enthalten standardmäßig keine Shell, keinen Paketmanager und keine unnötigen Komponenten, die die Angriffsfläche vergrößern.
• Mehrere Varianten: Standard-Images zielen darauf ab, ein Gleichgewicht zwischen Distroless-Prinzipien und der Kompatibilität mit vorhandenen Upstream-Images zu finden. Builder-Images behalten die Härtung bei und ermöglichen die Paketinstallation, um Builds anzupassen. Es gibt zudem FIPS-validierte Varianten für regulierte Umgebungen sowie architekturspezifische Builds (AMD64 und Arm64) für verschiedene Bereitstellungsziele.
• Ganzheitliche Härtung: Sämtliche Aspekte der Images sind gehärtet, von der Quellherkunft und den Compiler-Optionen bis hin zu den Standardeinstellungen für die Image-Sicherheit und der allgemeinen Minimierung. Die Härtung erfolgt auf jeder Ebene, und die Compliance-bezogene Konfiguration ist über OpenSCAP verifizierbar.
• Vertrauenswürdige Lieferkette: Abhängigkeiten stammen aus der SLSA3-Build-Pipeline von Red Hat. Dies erhält eine verifizierbare Vertrauenskette von der Quelle bis zum Artefakt aufrecht.
• Automatisierte Fehlerbehebung: Unsere Pipelines verfolgen Upstreams und Sicherheits-Feeds, um Fixes zu entwickeln, zu testen und bereitzustellen. Dies geschieht in der Regel innerhalb weniger Stunden nach Behebung einer Schwachstelle.

Testen Sie Red Hat Hardened Images noch heute

Red Hat Hardened Images sind jetzt allgemein verfügbar. Die Nutzung der Images im Katalog ist kostenlos. Sie können auf beliebigen Linux-Distributionen, Kubernetes-Versionen oder Container-Engines verwendet werden. Wenn Sie an bestimmten Images interessiert sind, die aktuell nicht angeboten werden, teilen Sie uns dies über die Schaltfläche „Image anfordern“ auf der Website mit.

Wir wissen zudem, dass einige Nutzende längere Lifecycle-Optionen benötigen, als derzeit von Upstreams bereitgestellt werden. In naher Zukunft planen wir, LTS-Images (Long-Term Support) anzubieten, um diese Anforderungen zu erfüllen. LTS wird optional sein und über ein einfaches Subskriptionsmodell zur Verfügung gestellt.

Wir danken den Hunderten von Early Bird-Nutzern, die diese Images getestet und Probleme gemeldet haben – und die uns geholfen haben, unseren Ansatz zu optimieren. Ihr Feedback hat das heutige Release geprägt.

Wenn Sie Red Hat Hardened Images noch nicht kennen, können Sie mit dem Erkunden des Katalogs beginnen.