Jump to section

Was ist Container-Sicherheit?

URL kopieren

Unter Container-Sicherheit versteht man den Schutz der Integrität von Containern. Dazu gehört alles − von den dort ausgeführten Anwendungen bis hin zur zugrunde liegenden Infrastruktur. Container-Sicherheit muss besonders bei Unternehmen integriert und kontinuierlich sein. Dabei geht es vor allem um Folgendes:

  • Sicherung von Container Pipeline und Anwendung
  • Schutz von Container-Deployment-Umgebung(en) und Infrastruktur


Integration von Sicherheit in die Container Pipeline

Führen Sie die folgenden Schritte aus:

Sammlung von Images

Container werden aus Schichten von Dateien erstellt. In der Community werden diese Dateien häufig als Container Images bezeichnet. Das Basis-Image ist in Bezug auf die Sicherheit das wichtigste, denn es wird als Ausgangspunkt für die Erstellung abgeleiteter Images verwendet. Der erste Schritt bei der Container-Sicherheit ist die Suche nach vertrauenswürdigen Quellen für Basis-Images. Aber auch bei Verwendung vertrauenswürdiger Images entstehen durch das Hinzufügen von Anwendungen und Durchführen von Konfigurationsänderungen neue Variablen. Wenn Sie zur Entwicklung Ihrer Apps externe Inhalte nutzen, benötigen Sie ein proaktives Content Management.

  • Integration mit Sicherheits-Tools und Einhaltung/Verbesserung aktueller Sicherheitsrichtlinien

Container sind sehr beliebt, weil sie eine benutzerfreundliche Entwicklung, Paketierung und Unterstützung von Anwendungen oder Services und all ihrer Abhängigkeiten über den gesamten Lifecycle hinweg sowie für verschiedene Umgebungen und Deployment-Ziele ermöglichen. Trotz alledem gibt es bei der Container-Sicherheit auch einige Herausforderungen zu beachten. So lassen sich in einem Unternehmen statische Sicherheitsrichtlinien und Checklisten für Container nicht skalieren. Für die Lieferkette werden zusätzliche Sicherheitsrichtlinien benötigt. Teams sehen sich vor die Notwendigkeit gestellt, ihre Anforderungen in Bezug auf die Vernetzung und Governance von Containern ausgleichen zu müssen. Build und Runtime Tools sowie Services müssen entkoppelt werden.

graphical image of a container along a pipeline secured with locks

Indem Sie Sicherheit in Ihre Container Pipeline integrieren und ihre Infrastruktur gut schützen, können Sie sicherstellen, dass Ihre Container zuverlässig, skalierbar und vertrauenswürdig sind. Hören Sie in dieser Webcast-Reihe Expertenmeinungen zur Sicherheit für den Anwendungs-Stack und Lifecycle von Containern.

Stellen Sie sich bei der Sammlung von Container Images deshalb folgende Fragen:

  1. Sind diese Images signiert bzw. stammen Sie aus vertrauenswürdigen Quellen?
  2. Sind Runtime- und Betriebssystemschichten aktuell?
  3. Wie schnell und häufig werden die Container aktualisiert?
  4. Wird auf bekannte Probleme überwacht, und wann ja, wie?
Decorative illustration

Wichtige Aspekte der IT-Modernisierung: Sicherheit und Compliance

Sobald Sie über Ihre Container Images verfügen, müssen Sie als nächstes den Zugriff auf bzw. die Unterstützung der Images verwalten, die von Ihrem Team verwendet werden. Will heißen, diejenigen schützen, die Sie herunterladen bzw. entwickeln. Mithilfe einer Private Registry können Sie den Zugriff über rollenbasierte Zuweisungen kontrollieren und gleichzeitig die Verwaltung von Inhalten durch Zuordnung von Metadaten zu Containern gewährleisten. Mit solchen Metadaten werden Informationen wie z. B. zur Erkennung und Nachverfolgung bekannter Schwachstellen bereitgestellt. Mit der genannten Private Registry können Sie dazu Richtlinien für gespeicherte Container Images automatisieren bzw. zuweisen und damit menschliche Fehler vermeiden, die zu Schwachstellen bei Containern führen können.

Stellen Sie sich bei Entscheidungen in Bezug auf die Zugriffsverwaltung folgende Fragen:

  1. Welche rollenbasierten Kontrollen können Sie für das Management von Container Images nutzen?
  2. Stehen Tagging- oder Kennzeichnungsfunktionen zur Unterstützung der Image-Sortierung zur Verfügung? Können Sie Images separat für Entwicklung, Prüfung und Produktion als genehmigt kennzeichnen?
  3. Bietet die Registry sichtbare Metadaten, mit denen Sie auf bekannte Schwachstellen überwachen können?
  4. Lässt sie sich zur Zuweisung und Automatisierung von Richtlinien (z. B. Prüfung von Signaturen, Codierung von Scans etc.) einsetzen?

Die letzte Phase der Pipeline ist das Deployment. Sobald Ihre Builds fertiggestellt sind, wird ihr Management gemäß Industriestandards erforderlich. Dabei müssen Sie lernen, wie Sie mit Richtlinien Builds automatisch auf Sicherheitsprobleme überprüfen können, und das besonders in Bezug auf neue Schwachstellen. Da die Neuentwicklung von Containern einem Patching vorzuziehen ist, sollten bei der Integration von Sicherheitstests Richtlinien berücksichtigt werden, die automatische Rebuilds auslösen. Der erste Teil dieser Phase ist der Einsatz von Tools zur Komponentenanalyse, mit denen sich Probleme identifizieren lassen. Der zweite Teil besteht in der Entwicklung von Tools für eine automatische richtlinienbasiertes Deployment.

Stellen Sie sich bei der Integration von Sicherheitstests und der Automatisierung des Deployments folgende Fragen:

  1. Wie können Sie das Patching ausgeführter Container vermeiden und sie stattdessen per Trigger mithilfe automatischer Updates neu erstellen bzw. ersetzen?

Eine weitere Schicht der Container-Sicherheit ist die vom Host-Betriebssystem (BS) bereitgestellte Isolierung. Dafür benötigen Sie ein Host-BS, das eine maximale Container-Isolierung bietet. Diese Maßnahme ist für den Schutz Ihrer Container-Deployment-Umgebung unerlässlich. Das Host-BS wird mithilfe einer Container Runtime aktiviert, die idealerweise über ein Orchestrierungssystem verwaltet wird. Für eine resiliente Container-Plattform verwenden Sie Netzwerk-Namespaces zur Trennung von Anwendungen und Umgebungen bzw. verknüpfen Storage über sichere Mounts. Jede  API-Management-Lösung  sollte Funktionen wie Authentifizierung und Autorisierung, LDAP-Integration, Endpunkt-Zugangskontrollen sowie Durchsatzbeschränkung bieten.

Stellen Sie sich in Bezug auf den Schutz Ihrer Container-Infrastruktur folgende Fragen:

  1. Welche Container müssen aufeinander zugreifen können? Wie können sich Container gegenseitig ermitteln?
  2. Wie sollen der Zugriff auf und das Management von gemeinsamen Ressourcen (z. B. Netzwerk und Storage) kontrolliert werden?
  3. Wie werden Host-Updates verwaltet? Müssen all Ihre Container gleichzeitig aktualisiert werden?
  4. Wie überwachen Sie den Container-Zustand?

Red Hat® OpenShift® umfasst Red Hat Enterprise Linux®. Mit diesem speziell für DevOps-Teams entwickelten Produkt können Sie den Lifecycle Ihrer Container-Anwendungen automatisieren und Sicherheit in die Container Pipeline integrieren. Über unseren Container-Katalog erhalten Sie Zugriff auf eine Vielzahl an zertifizierten Images, Sprach-Runtimes, Datenbanken und Middleware-Anwendungen, die überall zusammen mit Red Hat Enterprise Linux ausgeführt werden können. Images von Red Hat sind zwecks Gewährleistung von Herkunft und Integrität jederzeit signiert und verifiziert.

Wir überwachen unsere Container Images auf neue Schwachstellen (inklusive eines kontinuierlich aktualisierten und öffentlich sichtbaren Health Index) und veröffentlicht Sicherheits-Updates und Container Rebuilds, die in unsere öffentliche Registry verschoben werden. Sie können jederzeit unseren jährlichen Red Hat Product Security Risk Report einsehen, in dem unsere Reaktion auf bekannte Sicherheitslücken, die Unternehmenssoftware weltweit betreffen, jedes Jahr detailliert beschrieben wird.

Die Sicherheitspartner  von Red Hat können unsere Container-Sicherheitsfunktionen mit zertifizierten Integrationen erweitern und verbessern. Red Hat OpenShift verfügt über in die Plattform integrierte Sicherheit, die unsere Sicherheitspartnerlösungen ergänzt, um Anwendungen und Container während des gesamten DevOps-Lifecycle zu schützen.

Dazu werden Sie auch folgende Funktionen zu schätzen wissen:

  1. Web-Scale-Orchestrierung und -Management von Containern
  2. Umfassende Webkonsole mit Kollaborations-Features für mehrere Benutzer
  3. CLI- und IDE- Schnittstellen
  4. Build-Automatisierung und Source-to-Image
  5. Integration mit CI
  6. Automatisierung des Deployments
  7. Support für Remote Storage Volumes
  8. Vereinfachte Installation und Administration
  9. Umfangreiche Sammlung von Programmiersprachen, Frameworks und Services

Weiterlesen

ARTIKEL

Vergleich zwischen Containern und VMs

Linux-Container und virtuelle Maschinen (VMs) sind paketierte Computing-Umgebungen, die verschiedene IT-Komponenten vereinen und vom Rest des Systems isolieren.

ARTIKEL

Was ist Container-Orchestrierung?

Mithilfe der Container-Orchestrierung werden Deployment, Management, Skalierung und Vernetzung von Containern automatisiert.

ARTIKEL

Was ist ein Linux-Container?

Ein Linux-Container besteht aus Prozessen, die vom System isoliert sind und auf einem eigenen Image ausgeführt werden, das alle benötigten Dateien zur Unterstützung der Prozesse bereitstellt.

Mehr über Container erfahren

Produkte

Red Hat OpenShift

Eine Kubernetes-Containerplattform für Unternehmen, auf der Operationen für den gesamten Stack automatisiert werden, um Hybrid Clouds, Multi-Clouds und Edge-Deployments noch einfacher verwalten zu können.

Ressourcen

Analystenbericht

Red Hat wurde von Forrester unter den Multicloud-Plattformen für die Container-Entwicklung zum Marktführer ernannt

Datenblatt

Red Hat OpenShift Container Platform

Training

Kostenloser Trainingskurs

Running Containers with Red Hat Technical Overview

Kostenloser Trainingskurs

Containers, Kubernetes and Red Hat OpenShift Technical Overview

Kostenloser Trainingskurs

Developing Cloud-Native Applications with Microservices Architectures

Illustration - mail

Möchten Sie mehr zu diesen Themen erfahren?

Abonnieren Sie unseren kostenlosen Newsletter, Red Hat Shares.