GP - Fotolia

Container absichern und sicher betreiben

Container sind eine relative junge Technik, die speziellen Gefahren und Bedrohungen ausgesetzt ist. Ein neuer NIST-Guide gibt Tipps zur Absicherung und dem Schutz von Containern.

Das amerikanische Institute of Standards and Technology (NIST) hat vor kurzem den Entwurf eines neuen „Application Container Security Guide“ veröffentlicht. Was können DevOps-Spezialisten aus diesem Ratgeber lernen und was sollten Sie über die größten Gefahren durch die Container-Technik wissen?

Der neue Guide (PDF) beschreibt den typischen Lebenszyklus von Containern in Unternehmen und konzentriert sich darüber hinaus auf die wichtigsten Gefahren, die bei der Nutzung von Application-Containern bestehen. Außerdem zeigt er, welche Maßnahmen gegen diese Bedrohungen ergriffen werden können.

Der Lifecycle eines Containers umfasst in der Regel drei Phasen: Erstellung und erste Prüfung, Bearbeitung und Konfiguration der Kernkomponenten sowie Deployment und Management des Containers. Registries und der so genannte Orchestrator gehören zu den Kernkomponenten der Container-Technologie. Der Orchestrator verteilt die einzelnen Images aus den Registries auf die Hosts, so dass sie dort genutzt werden können. Er teilt den Hosts auch mit, wann ein Application-Container gestartet oder gestoppt werden soll.

Bei diesen Kernkomponenten bestehen einige Sicherheitsrisiken, die beachtet werden sollten. Aber es gibt auch passende Gegenmaßnahmen. So kann es zu Problemen kommen, wenn die Registries unsichere Kanäle zur Verbreitung der Images verwenden. Ein Gegenmittel ist, die Verbindungen zu den Registries zu verschlüsseln.

Außerdem sollten alle unsicheren, verwundbaren und veralteten Container-Images umgehend aus den Registries entfernt werden. Neue Images müssen zudem auf Malware getestet werden. Insbesondere Images aus externen Quellen müssen zunächst überprüft werden, um sicherzustellen, dass sie vertrauenswürdig sind.

Container kategorisieren und isolieren

Ein weiteres Risiko besteht, wenn unterschiedliche Container gemeinsam eingesetzt werden sollen. So könnten vertrauliche Daten für fremde Personen zugänglich werden, wenn zum Beispiel ein Container mit einem öffentlichen Webserver gemeinsam auf einem Host mit einem Container zur Verarbeitung von Finanzdaten läuft. Container sollten deswegen nach verschiedenen Sicherheitsbedürfnissen kategorisiert und gegebenenfalls voneinander isoliert werden.

Ein Container, der heimlich den Netzwerk-Traffic belauscht und Daten extrahiert, kann zu einer weiteren Gefahr für andere Container werden. Ein Gegenmittel ist, nach unerwartetem Netzwerkverkehr zu verdächtigen Zielen zu filtern und ihn dann zu stoppen.

Nicht übersehen werden sollte auch, dass die in Container-Umgebungen genutzten Betriebssysteme in der Regel nicht für mehrere Anwender optimiert wurden. So könnte sich ein Anwender direkt an einem Host anmelden und die dort eingesetzten Container ändern, ohne dazu den Umweg über den Orchestration-Layer nehmen zu müssen. Aus diesem Grund sollte ein Tool eingesetzt werden, dass legitime Nutzer auf den Hosts erkennt und ihnen dann automatisch die erforderlichen Zugriffsrechte zuweist.

Neben den beschriebenen Gefahren und Gegenmitteln unterstützt der NIST-Ratgeber DevOps- und Security-Spezialisten mit weiteren Hinweisen und Tipps beim Umgang mit den besonderen Herausforderungen, die sich durch die vergleichsweise junge Container-Technologie ergeben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Windows Server 2016 und Container-Sicherheit mit Docker

Grundsätze für den sicheren Einsatz von Containern

Mehr Sicherheit für Container-Images und Container-Inhalte

 

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close