Anmelden / Registrieren Konto
Jump to section

Was ist Container-Sicherheit?

URL kopieren

 

Unter Container-Sicherheit versteht man den Schutz der Integrität von Containern. Dazu gehört alles − von den dort ausgeführten Anwendungen bis hin zur zugrunde liegenden Infrastruktur. Container-Sicherheit muss besonders bei Unternehmen integriert und kontinuierlich sein. Dabei geht es vor allem um Folgendes:

  • Sicherung von Container Pipeline und Anwendung
  • Schutz von Container-Deployment-Umgebung(en) und Infrastruktur

Integration von Sicherheit in die Container Pipeline

Führen Sie die folgenden Schritte aus:

Sammlung von Images

Container werden aus Schichten von Dateien erstellt. In der Community werden diese Dateien häufig als Container Images bezeichnet. Das Basis-Image ist in Bezug auf die Sicherheit das wichtigste, denn es wird als Ausgangspunkt für die Erstellung abgeleiteter Images verwendet. Der erste Schritt bei der Container-Sicherheit ist die Suche nach vertrauenswürdigen Quellen für Basis-Images. Aber auch bei Verwendung vertrauenswürdiger Images entstehen durch das Hinzufügen von Anwendungen und Durchführen von Konfigurationsänderungen neue Variablen. Wenn Sie zur Entwicklung Ihrer Apps externe Inhalte nutzen, benötigen Sie ein proaktives Content Management.

  • Integration mit Sicherheits-Tools und Einhaltung/Verbesserung aktueller Sicherheitsrichtlinien

Container sind sehr beliebt, weil sie eine benutzerfreundliche Entwicklung, Paketierung und Unterstützung von Anwendungen oder Services und all ihrer Abhängigkeiten über den gesamten Lifecycle hinweg sowie für verschiedene Umgebungen und Deployment-Ziele ermöglichen. Trotz alledem gibt es bei der Container-Sicherheit auch einige Herausforderungen zu beachten. So lassen sich in einem Unternehmen statische Sicherheitsrichtlinien und Checklisten für Container nicht skalieren. Für die Lieferkette werden zusätzliche Sicherheitsrichtlinien benötigt. Teams sehen sich vor die Notwendigkeit gestellt, ihre Anforderungen in Bezug auf die Vernetzung und Governance von Containern ausgleichen zu müssen. Build und Runtime Tools sowie Services müssen entkoppelt werden.

Indem Sie Sicherheit in Ihre Container Pipeline integrieren und ihre Infrastruktur gut schützen, können Sie sicherstellen, dass Ihre Container zuverlässig, skalierbar und vertrauenswürdig sind. Hören Sie in dieser Webcast-Reihe Expertenmeinungen zur Sicherheit für den Anwendungs-Stack und Lifecycle von Containern.

Stellen Sie sich bei der Sammlung von Container Images deshalb folgende Fragen:

Sind diese Images signiert bzw. stammen Sie aus vertrauenswürdigen Quellen?
Sind Runtime- und Betriebssystemschichten aktuell?
Wie schnell und häufig werden die Container aktualisiert?
Wird auf bekannte Probleme überwacht, und wann ja, wie?

Sobald Sie über Ihre Container Images verfügen, müssen Sie als nächstes den Zugriff auf bzw. die Unterstützung der Images verwalten, die von Ihrem Team verwendet werden. Will heißen, diejenigen schützen, die Sie herunterladen bzw. entwickeln. Mithilfe einer Private Registry können Sie den Zugriff über rollenbasierte Zuweisungen kontrollieren und gleichzeitig die Verwaltung von Inhalten durch Zuordnung von Metadaten zu Containern gewährleisten. Mit solchen Metadaten werden Informationen wie z. B. zur Erkennung und Nachverfolgung bekannter Schwachstellen bereitgestellt. Mit der genannten Private Registry können Sie dazu Richtlinien für gespeicherte Container Images automatisieren bzw. zuweisen und damit menschliche Fehler vermeiden, die zu Schwachstellen bei Containern führen können.

Stellen Sie sich bei Entscheidungen in Bezug auf die Zugriffsverwaltung folgende Fragen:

Welche rollenbasierten Kontrollen können Sie für das Management von Container Images nutzen?
Stehen Tagging- oder Kennzeichnungsfunktionen zur Unterstützung der Image-Sortierung zur Verfügung? Können Sie Images separat für Entwicklung, Prüfung und Produktion als genehmigt kennzeichnen?
Bietet die Registry sichtbare Metadaten, mit denen Sie auf bekannte Schwachstellen überwachen können?
Lässt sie sich zur Zuweisung und Automatisierung von Richtlinien (z. B. Prüfung von Signaturen, Codierung von Scans etc.) einsetzen?

Die letzte Phase der Pipeline ist das Deployment. Sobald Ihre Builds fertiggestellt sind, wird ihr Management gemäß Industriestandards erforderlich. Dabei müssen Sie lernen, wie Sie mit Richtlinien Builds automatisch auf Sicherheitsprobleme überprüfen können, und das besonders in Bezug auf neue Schwachstellen. Da die Neuentwicklung von Containern einem Patching vorzuziehen ist, sollten bei der Integration von Sicherheitstests Richtlinien berücksichtigt werden, die automatische Rebuilds auslösen. Der erste Teil dieser Phase ist der Einsatz von Tools zur Komponentenanalyse, mit denen sich Probleme identifizieren lassen. Der zweite Teil besteht in der Entwicklung von Tools für eine automatische richtlinienbasiertes Deployment.

Stellen Sie sich bei der Integration von Sicherheitstests und der Automatisierung des Deployments folgende Fragen:

Wie können Sie das Patching ausgeführter Container vermeiden und sie stattdessen per Trigger mithilfe automatischer Updates neu erstellen bzw. ersetzen?
 

Eine weitere Schicht der Container-Sicherheit ist die vom Host-Betriebssystem (BS) bereitgestellte Isolierung. Dafür benötigen Sie ein Host-BS, das eine maximale Container-Isolierung bietet. Diese Maßnahme ist für den Schutz Ihrer Container-Deployment-Umgebung unerlässlich. Das Host-BS wird mithilfe einer Container Runtime aktiviert, die idealerweise über ein Orchestrierungssystem verwaltet wird. Für eine resiliente Container-Plattform verwenden Sie Netzwerk-Namespaces zur Trennung von Anwendungen und Umgebungen bzw. verknüpfen Storage über sichere Mounts. Jede  API-Management-Lösung  sollte Funktionen wie Authentifizierung und Autorisierung, LDAP-Integration, Endpunkt-Zugangskontrollen sowie Durchsatzbeschränkung bieten.

Stellen Sie sich in Bezug auf den Schutz Ihrer Container-Infrastruktur folgende Fragen:

Welche Container müssen aufeinander zugreifen können? Wie können sich Container gegenseitig ermitteln?
Wie sollen der Zugriff auf und das Management von gemeinsamen Ressourcen (z. B. Netzwerk und Storage) kontrolliert werden?
Wie werden Host-Updates verwaltet? Müssen all Ihre Container gleichzeitig aktualisiert werden?
Wie überwachen Sie den Container-Zustand?
Wie lässt sich die Anwendungskapazität bedarfsabhängig skalieren?

Red Hat® OpenShift® umfasst Red Hat Enterprise Linux®. Mit diesem speziell für DevOps-Teams entwickelten Produkt können Sie den Lifecycle Ihrer Container-Anwendungen automatisieren und Sicherheit in die Container Pipeline integrieren. Über unseren Container-Katalog erhalten Sie Zugriff auf eine Vielzahl an zertifizierten Images, Sprach-Runtimes, Datenbanken und Middleware-Anwendungen, die überall zusammen mit Red Hat Enterprise Linux ausgeführt werden können. Images von Red Hat sind zwecks Gewährleistung von Herkunft und Integrität jederzeit signiert und verifiziert.

Wir überwachen unsere Container Images auf neue Schwachstellen (inklusive eines kontinuierlich aktualisierten und öffentlich sichtbaren Health Index) und veröffentlicht Sicherheits-Updates und Container Rebuilds, die in unsere öffentliche Registry verschoben werden. Sie können jederzeit unseren jährlichen Red Hat Product Security Risk Report einsehen, in dem unsere Reaktion auf bekannte Sicherheitslücken, die Unternehmenssoftware weltweit betreffen, jedes Jahr detailliert beschrieben wird.

Die Sicherheitspartner  von Red Hat können unsere Container-Sicherheitsfunktionen mit zertifizierten Integrationen erweitern und verbessern. Red Hat OpenShift verfügt über in die Plattform integrierte Sicherheit, die unsere Sicherheitspartnerlösungen ergänzt, um Anwendungen und Container während des gesamten DevOps-Lifecycle zu schützen.

Dazu werden Sie auch folgende Funktionen zu schätzen wissen:

Web-Scale-Orchestrierung und -Management von Containern
Umfassende Webkonsole mit Kollaborations-Features für mehrere Benutzer
CLI- und IDE- Schnittstellen
Build-Automatisierung und Source-to-Image
Integration mit CI
Automatisierung des Deployments
Support für Remote Storage Volumes
Vereinfachte Installation und Administration

Umfangreiche Sammlung von Programmiersprachen, Frameworks und Services

Einstieg

Red Hat OpenShift

Mit OpenShift können Sie Container einfach und schnell in fast jeder Infrastruktur, öffentlich oder privat, entwickeln und bereitstellen.

Red Hat Enterprise Linux

Red Hat Enterprise Linux ist eine stabile und bewährte Plattform, die ausreichend Vielseitigkeit für den Rollout neuer Anwendungen, die Virtualisierung von Umgebungen sowie die Erstellung einer sicheren Hybrid Cloud bietet – unterstützt von unserem vielfach ausgezeichneten Support.

Container-Sicherheit hat noch viel mehr zu bieten