GP - Fotolia

Container-Sicherheit mit Docker und Windows Server 2016

Flexibilität und Skalierbarkeit zeichnen Container im produktiven Einsatz aus. Die Sicherheit sollte dabei jedoch von Anfang an berücksichtigt werden.

Container werden vor allem in Umgebungen eingesetzt, in denen viele Mikrodienste oder Server-Workloads zur Verfügung gestellt werden. Im Gegensatz zu herkömmlichen virtuellen Servern teilen sich Container Teile des Betriebssystems mit dem Container-Host und damit auch mit anderen Containern.

Aus diesem Grund spielt die Sicherheit in einer solchen Infrastruktur eine besonders wichtige Rolle.

Container kommunizieren mit dem Netzwerk wie Server. Daher sind Container auch genauso Ziele von Angreifern. Denial-of-Service-Attacken (DoS) sind hier genauso möglich wie SQL Injection.

Die Sicherheit von Images sicherstellen

Um Container bereitzustellen werden normalerweise Abbilder (Images) verwendet. Das ermöglicht die schnelle und automatisierte Bereitstellung auch in größeren Umgebungen.

Gibt es allerdings Schwachstellen innerhalb eines Abbildes, dann sind davon alle Container betroffen, die dieses Abbild nutzen. Aus diesem Grund sollten Administratoren besonders darauf achten, dass die Images möglichst sicher konfiguriert sind.

Sonderfall Hyper-V-Container

In Windows Server 2016 hat Microsoft Docker direkt integriert. Das heißt, Administratoren können Container erstellen, die den Betriebssystemkern mit dem Container-Host auf Basis von Windows Server 2016 teilen. Mit den Hyper-V-Containern führt Microsoft eine weitere Sicherheitsstufe ein, und trennt das Betriebssystem der Container vom Container-Host und damit den anderen Containern.

Wird ein Container kompromittiert, dann sind die anderen Container davon nicht betroffen. Auf Linux-Servern erfolgt eine solche Absicherung über den Secure Compute Mode. Dieser kann unerlaubte Aufrufe von bestimmten Kernelbefehlen blockieren, die Entwickler nicht explizit erlaubt haben.

Schwachstellen-Analyse mit Zusatz-Tools

Um Container-Umgebungen abzusichern, können Lösungen helfen, die Schwachstellen in Containern untersuchen. Hier sind Tools wie Tenable.io sinnvoll, die zentral alle Container überwachen und Probleme schnell und einfach finden. Die Lösung untersucht nicht nur nach Schwachstellen, sondern erkennt auch Malware. Tenable.io bietet eine Testversion, die für 60 Tage funktioniert.

Betreiben Unternehmen Container, sollte überprüft werden, ob der aktuell eingesetzt Virenschutz kompatibel mit Docker auf Windows Server 2016 ist. Generell ist es empfehlenswert, dass die Container und vor allem der Container-Host nach Schadsoftware durchsucht wird, und ein Viren-Scanner die Umgebung überwacht. Ein Viren-Scanner sollte immer alle Images, Container und auch den Host nach Viren durchsuchen dürfen.

Container für die Sicherheit nutzen

Von Containern geht aber nicht nur die Gefahr aus, dass Schadsoftware in das Netzwerk gelangen, Container können auch dabei helfen, Malware zu finden und auszubremsen. Dazu gibt es bereits einige Lösungen, die in der Lage sind, aus Containern heraus nach Viren zu suchen. Verfügbare Images sind zum Beispiel über Remnux erhältlich. Wie sich diese in Docker auf Windows Server 2016 einbinden lassen, muss allerdings entsprechend getestet werden.

Windows Defender und Docker

Microsoft hat in Windows Server 2016 den aus dem Client-System stammenden Windows Defender standardmäßig integriert. Interessant ist das vor allem, wenn der Container-Host auf einem Nano-Server betrieben werden soll. Windows Defender steht hier als Paket zur Verfügung, und lässt sich dadurch direkt auf einem Container-Host auf Nano-Basis betreiben. Ist der Nano-Server als Container-Host bereits in Betrieb, kann Windows Defender auch nachträglich installiert und aktiviert werden. Dazu wird eine Verbindung mit der Remote-PowerShell hergestellt. Die Befehle dazu lauten:

Import-PackageProvider NanoServerPackage

find-NanoServerPackage -Name *

install-NanoServerPackage -name Microsoft-NanoServer-Defender-Package -culture en-us

Der Status von Windows Defender auf einem Container-Host wird mit dem Cmdlet Get-MpComputerStatus abgefragt. Alle Cmdlets, um Windows Defender zu steuern, werden mit dem Befehl Get-Command -Module defender angezeigt.

Windows-Updates auf Nano-Servern installieren

Damit Container auf Nano-Servern sicher funktionieren, müssen die neusten Updates für Windows Server 2016 installiert sein. Dadurch lassen sich auch Virenangriffe auf den Container-Hosts und damit auch auf die Container verhindern. Das gilt natürlich auch für Core-Server und Server mit grafischer Benutzeroberfläche. Auf Nano-Servern ist die Installation von Windows-Updates teilweise etwas komplizierter. Zur Installation von Windows-Updates auf Nano-Servern werden die folgenden Befehle in einer Remote-PowerShell-Sitzung eingegeben:

$sess = New-CimIn    stance -Namespace root/Microsoft/Windows/WindowsUpdate -ClassName MSFT_WUOperationsSession

Invoke-CimMethod -InputObject $sess -MethodName ApplyApplicableUpdates

Wenn alle Updates installiert sind, kann der Nano-Server über die Remote-PowerShell-Sitzung neu starten, und zwar mit dem Befehl: Restart-Computer.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Container-Images und Container-Inhalte sicher einsetzen

Regeln für den sicheren Einsatz von Containern

Wie Sandboxing und Container gegen Malware eingesetzt werden

Data Protection für Container unter Windows Server 2016 dringend gesucht

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Policies, Prozeduren und Richtlinien

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close