Zum Hauptinhalt springen
Zurück zu Fragen

Was ist Container-Sicherheit?

Containersicherheit ist der Einsatz von Sicherheitstools und -richtlinien zum Schutz des Containers, seiner Anwendung und seiner Leistung, einschließlich der Infrastruktur, der Software-Lieferkette, der Systemtools, der Systembibliotheken und der Laufzeit vor Cybersicherheitsbedrohungen.

Was sind die Herausforderungen der Containersicherheit?

Container leben in einem Ökosystem - Container werden nicht eigenständig in einem Unternehmen eingesetzt. Container-Workloads werden als Teil einer Architektur eingesetzt, die öffentliche (AWS, GCP, Azure), private (VMware) und hybride Clouds umfassen kann, die mit traditionellen Workloads aus Servern und VMs integriert sind und gleichzeitig mit serverlosen Komponenten auf der Rechenseite arbeiten. Diese Unternehmen nutzen möglicherweise auch Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS) Services wie S3-Buckets oder RDS. Container-Workloads müssen daher als Teil eines Unternehmens-Ökosystems abgesichert werden.

Container sind kurzlebig: Die Lebenszyklen von Containern werden oft in Sekunden gemessen, aber es gibt auch ein hohes Maß an Variabilität, das Verallgemeinerungen schwierig macht. Sicherheitsteams müssen die Sicherheit und Integrität von Containern berücksichtigen, die vielleicht nur wenige Sekunden online sind, während andere wochenlang online sein können.

Container werden in CI/CD DevOps-Pipelines erstellt und bereitgestellt. Container-Workloads werden in der Regel von Entwicklern erstellt. Die Herausforderung für die Sicherheit besteht darin, Entwickler in die Lage zu versetzen, Anwendungen zu erstellen, die BornSecure sind.

Cloud Security Posture Management (CSPM)

CSPM für Container

Skyhigh Security kann CIS-Benchmark-Scans und andere Best-Practice-Bewertungen für Container-Laufzeiten, Orchestrierungssysteme (wie Kubernetes), IaaS-Infrastrukturen mit Container-Workloads, Speicherkonfigurationen, Netzwerkkonfigurationen, IAM-Einstellungen/Rollen usw. bereitstellen. Das hilft:

  • Sicherstellen, dass die Konfiguration der Umgebung keine Risikoquelle darstellt (CSPM)
  • Stellen Sie sicher, dass die Konfiguration der Umgebung nicht im Laufe der Zeit abweicht und unbeabsichtigte Risiken birgt.

Scannen auf Schwachstellen in Containern

Container nutzen in erheblichem Maße Komponenten von Drittanbietern. Alle Komponenten von Container-Builds müssen auf bekannte oder ausnutzbare Schwachstellen geprüft werden.

Beim Scannen auf Schwachstellen werden die in Containern eingebetteten Komponenten zum Zeitpunkt der Erstellung bewertet und regelmäßig gescannt, um sicherzustellen, dass bekannte Risiken aufgedeckt und entschärft werden, um das Risiko zu verringern, dass böswillige Akteure in einem Container-Workload landen.

NanoSegmentierung

Entdecken Sie die Kommunikation zwischen den Containern auf der Grundlage bekannter guter Konfigurationen, um das Verhalten komplexer und dynamischer Arbeitslasten zu sichern:

  • Erkennen und überwachen Sie das Verhalten der Netzwerkkommunikation zwischen Container-Prozessen auf eine Art und Weise, die mit der ephemeren Natur von Containern umgehen kann und nicht von externen Faktoren wie einer IP-Adresse abhängt.
  • Erkennen Sie abnormale Kommunikationen und benachrichtigen oder blockieren Sie sie je nach Benutzerpräferenz.
  • Erkennen Sie Änderungen in den Kommunikationsmustern zwischen Versionen von Containern, wenn sich die Anwendung im Laufe der Zeit weiterentwickelt.
  • Nutzen Sie bekannte gute Konfigurationen zur Absicherung von Workloads, anstatt mit bekannten schlechten Konfigurationen Schritt zu halten.

Skyhigh Security Lösung, die einem Container-Lebenszyklus zugeordnet ist

Sicherheit sollte Entwickler oder die Einführung von Cloud-freundlichen Architekturen wie Containern nicht bremsen. Skyhigh Security bietet eine nahtlos integrierte Sicherheitsplattform, die sich in die Tools integrieren lässt, die Entwickler zur Wartung ihrer Anwendungen verwenden. Die Containersicherheit kann einen umfassenden Schutz bieten, indem sie eine ordnungsgemäß konfigurierte Infrastruktur und Orchestrierungs-Engines sicherstellt, das Risiko von Exploits für in Containern eingebetteten Code bewertet und eine flexible, softwaredefinierte Methode zur Zertifizierung des bekannten guten Netzwerkverhaltens bereitstellt, die mit der sich schnell ändernden Umgebung von Container-Workloads während ihres Lebenszyklus umgehen kann.

Linksverschiebung: DevOps zu DevSecOps

Container sind eine sehr entwicklerzentrierte Art von Workloads. Da die Entwickler viel mehr direkte Kontrolle über die Architektur und die genutzten Dienste erhalten, benötigen Sicherheitsteams eine asynchrone Möglichkeit, Richtlinien festzulegen, Implementierungen anhand von Best Practices zu bewerten und die unvermeidliche Abweichung zu überwachen, die in jeder Umgebung auftritt. Mit Containern und Microservice-Architekturen hat sich die Anzahl der Variablen und das Tempo der Veränderungen gegenüber den früher streng kontrollierten Hardware- oder VM-basierten Implementierungen erheblich erhöht. Die Lebenszyklen von Containern werden oft in Sekunden gemessen, aber es gibt auch ein hohes Maß an Variabilität, das Verallgemeinerungen potenziell gefährlich macht. Sicherheitsteams müssen die Sicherheit und Integrität von Containern berücksichtigen, die vielleicht nur wenige Sekunden online sind, während andere wochenlang ununterbrochen online sein können. Skyhigh Security bietet BornSecure Containers, die Folgendes umfassen:

  • Cloud Security Posture Management zum kontinuierlichen Scannen der Cloud-Umgebung, um Risiken durch Drift zu erkennen, integriert in die DevOps-Pipeline (Shift Left), um sicherzustellen, dass das Risiko vor der Bereitstellung behoben wird.
  • Schwachstellenbewertung der Komponenten in den Containern selbst, um sicherzustellen, dass Unternehmen keinen Code mit bekannten Schwachstellen in die DevOps-Pipeline integrieren (Shift Left). Skyhigh Security umfasst auch die regelmäßige Überprüfung von Container-Artefakten, um zu erkennen, wenn neue Schwachstellen Container betreffen, die bereits erstellt wurden und möglicherweise in der Produktion laufen.

Traditionelle DevOps-Prozesse: Traditionell wird die Sicherheit erst dann berücksichtigt oder überprüft, wenn die Anwendungen in der Produktionsumgebung eingesetzt werden.

Cloud-native Anwendungen erfordern heute BornSecure Container: Die Sicherheit ist in die DevOps-Pipeline eingebettet und gibt den Entwicklern beim Erstellen von Anwendungen oder beim Einchecken von Code ein Sicherheitsfeedback.

Container-Sicherheit 101 - Ein Glossar der Begriffe

KS Enterprise Container Platform S/W Suite für Azure basierend auf k8s. Docker Ein Unternehmen und der Name des Tools, das entwickelt wurde, um die Erstellung, Bereitstellung und Ausführung von Anwendungen mit Hilfe von Containern zu vereinfachen. Nanosegmentierung Eine flexible und feinkörnige =Segmentierung, die auf beobachtetem Verhalten basiert.
Anomalie Etwas, das von dem abweicht, was Standard, normal oder erwartet ist. Drift Die Anhäufung von Konfigurationsänderungen oder Verwaltungsmaßnahmen im Laufe der Zeit, die zu Risiken und Abweichungen von der bekannten guten Konfiguration führen können. Angriffsfläche im Netzwerk Die Angriffsfläche besteht aus der Gesamtheit einer Umgebung, die ein Angreifer für einen erfolgreichen Angriff ausnutzen kann, einschließlich aller Protokolle, Schnittstellen, installierter Software und Dienste.
Build Konstruktion von etwas, das ein beobachtbares und greifbares Ergebnis hat. Build ist der Prozess der Umwandlung von Quellcodedateien in eigenständige Software-Artefakte, die auf einem Computer ausgeführt werden können. EKS Enterprise Container Platform S/W Suite für Amazon basierend auf k8s. Pipeline Eine Reihe von automatisierten Prozessen, die es Entwicklern und DevOps-Fachleuten ermöglichen, ihren Code zuverlässig und effizient zu kompilieren, zu erstellen und auf ihren Produktionscomputerplattformen einzusetzen.
CICD Kombinierte Praktiken der kontinuierlichen Integration und der kontinuierlichen Bereitstellung. ECS Enterprise Container Platform S/W Suite für Amazon mit proprietärer Orchestrierung, die vor der breiten Einführung von k8s entwickelt wurde. Privilegien Das Konzept, das es Benutzern nur erlaubt, bestimmte Aktivitäten auszuführen. Ein normaler Benutzer darf beispielsweise keine Betriebssystemdateien ändern, während ein Systemadministrator dies in der Regel tun darf.
CIS Benchmark Best Practices für die sichere Konfiguration eines Zielsystems einschließlich Container und Kubernetes. Die Benchmarks werden von einer gemeinnützigen Organisation namens Center for Internet Security (CIS) durch einen Konsens von Cybersecurity-Experten entwickelt. Ephemeral Eigenschaft, die zur Definition von Containern verwendet wird. Da Container kurzlebig sind, mit einer durchschnittlichen Lebensdauer in Stunden, werden sie als kurzlebig bezeichnet. Repository (repo) Ein Container-Image-Repository ist eine Sammlung zusammengehöriger Container-Images, die in der Regel verschiedene Versionen derselben Anwendung oder desselben Dienstes enthalten.
Container Standard-Softwareeinheit, die den Code und alle Abhängigkeiten zusammenfasst, so dass die Anwendung schnell und zuverlässig von einer Computerumgebung in eine andere übertragen werden kann. Ein Container-Image ist ein leichtgewichtiges, eigenständiges, ausführbares Softwarepaket, das alles enthält, was zur Ausführung einer Anwendung benötigt wird: Code, Laufzeit, Systemtools, Systembibliotheken und Einstellungen. Fingerabdrücke Die Möglichkeit, Artefakte sowie das Verhalten der Artefakte zu verfolgen, damit die Benutzer sehen können, was in einen Build eingeflossen ist und wie und wo dieser Build verwendet wird.

Forensik Eine Postmortem-Analyse, um die Auswirkungen von Sicherheitsverletzungen zu verstehen und einzudämmen.

Shift Left Die Integration der Sicherheitskonfiguration und Schwachstellenprüfungen in die DevOps-Pipeline. Die Sicherheit wird eingeführt, wenn der Code geprüft oder erstellt wird, anstatt zu warten, bis die Systeme in Betrieb sind. Damit wird die Sicherheit links von (vor) den Produktionsumgebungen angesiedelt, wo sie traditionell durchgeführt wird.
Container-Registry Ein Repository zum Speichern von Container-Images. Ein Container-Image besteht aus vielen Dateien, die eine Anwendung kapseln. Entwickler, Tester und CI/CD-Systeme müssen eine Registry verwenden, um die während der Anwendungsentwicklung erstellten Images zu speichern. In der Registry abgelegte Container-Images können in verschiedenen Phasen der Entwicklung verwendet werden. GKE Enterprise Container Platform S/W Suite für Google basierend auf k8s.

Unveränderliche Eigenschaft, die zur Definition von Containern verwendet wird. Einzelne Container ändern sich während des Lebenszyklus nicht mehr, sobald sie erstellt wurden.

Virtuelle Maschine (VM) Eine virtuelle Umgebung, die als virtuelles Computersystem mit eigener CPU, eigenem Arbeitsspeicher, eigener Netzwerkschnittstelle und eigenem Speicher fungiert und auf einem physischen Hardwaresystem erstellt wird. Eine als Hypervisor bezeichnete Software trennt die Ressourcen der Maschine von der Hardware und verteilt sie entsprechend, damit sie von der VM genutzt werden können.
Container Runtime Software, die Container ausführt und Container-Images auf einem Knoten verwaltet. z.B. Docker Engine. k8s Kubernetes wird manchmal k8s (K - acht Zeichen - S) genannt. Workload Eine diskrete Fähigkeit oder Menge an Arbeit, die Sie auf einer Cloud-Instanz ausführen möchten.
DevOps Eine Reihe von Praktiken, die die Softwareentwicklung (Dev) und den Betrieb der Informationstechnologie (Ops) miteinander verbinden und darauf abzielen, den Lebenszyklus der Systementwicklung zu verkürzen und eine kontinuierliche Lieferung mit hoher Softwarequalität zu gewährleisten. Kubernetes (k8s) Ein Open-Source-Container-Orchestrierungssystem. Es bietet eine Plattform für die Automatisierung der Bereitstellung, Skalierung und des Betriebs von Anwendungscontainern in Clustern von Hosts. Zero-Trust Niemals vertrauen, aber überprüfen. Zero-Trust-Sicherheit bedeutet, dass niemandem innerhalb oder außerhalb des Netzwerks standardmäßig vertraut wird und jeder, der versucht, Zugriff auf Ressourcen im Netzwerk zu erhalten, überprüft werden muss.
DevSecOps DevSecOps ist die Praxis der Integration von Sicherheitspraktiken in den DevOps-Prozess. Mikrosegmentierung Die Mikrosegmentierungssoftware nutzt die Technologie der Netzwerkvirtualisierung, um hochgranulare Sicherheitszonen in Rechenzentren und Cloud-Implementierungen zu schaffen, die jede einzelne Arbeitslast isolieren und separat sichern.