Probleme mit Software-Lieferketten, Zero-Trust-Prinzip und Ressourcenzuteilung Anfällige Container-Images und überzogene Cloud-Ausgaben

Etwa neun von zehn Container-Images weisen schwerwiegende oder gar kritische Schwachstellen auf. Problematische Faktoren sind zu großzügige Berechtigungskonzepte und anfällige Software-Lieferketten, heißt es im „Cloud-Native Security and Usage“-Report von Sysdig.

Als Unternehmen für Cloud- und Containersicherheit teilt Sysdig jährlich die wichtigsten Erkenntnisse mit der Öffentlichkeit. Der sechste „Cloud-Native Security and Usage“-Report konzentriert sich insbesondere auf Supply-Chain-Risiken und die Implementierung von Zero-Trust-Architekturen. Die aus Kundeninstallationen generierten Datensätze berücksichtigen Milliarden von Containern, Tausende Cloud-Konten und Hunderttausende Anwendungen.

Dem Bericht zufolge wiesen 87 Prozent der Container-Images schwerwiegende oder kritische Schwachstellen auf. Sysdig führt das auf das moderne Architektur-Design und die gemeinsamen Nutzung von Open-Source-Images zurück. Sicherheitsteams könnten nicht alle Probleme zeitnah beheben, da ihnen die richtigen Parameter abgingen, um Schwachstellen zu priorisieren. Allerdings fänden sich nur 15 Prozent der hochpriorisierten Schwachstellen, für die eine Lösung verfügbar ist, in Paketen, die wirklich während der Laufzeit geladen werden. Die Teams müssten ihre Bemühungen also schlicht auf die tatsächlich genutzten Schwachstellen-behafteten Pakete konzentrieren.

Probleme machen wie eingangs erwähnt auch Verstöße gegen die Grundsätze der Zero-Trust-Architektur, denn 90 Prozent der erteilten Berechtigungen werden laut Sysdig nicht genutzt. Sobald Angreifer Identitäten mit privilegiertem Zugriff oder übermäßigen Berechtigungen kompromittierten, erhielten sie umfangreiche Einblicke in eine Cloud-Umgebung.

Der Bericht befasst sich außerdem mit unnötigen Ausgaben durch übermäßig zugewiesene Cloud-Kapazitäten. Demnach seien für 59 Prozent der Container keine CPU-Limits definiert. Gleichzeitig blieben 69 Prozent der angeforderten CPU-Ressourcen ungenutzt. Dies führt Sysdig auf mangelnde Informationen zur Auslastung von Kubernetes-Umgebungen zurück und beziffert den Anteil der unnötigen Ausgaben auf 40 Prozent. Bei großen Bereitstellungen könne eine optimierte Umgebung im Schnitt 10 Millionen US-Dollar an Cloud-Kosten einsparen.

Ein weitere interessanter Wert: Sieben von zehn Containern (72 %) leben weniger als fünf Minuten, die Lebensdauer eines Containers habe sich damit um 28 Prozent gegenüber dem Vorjahr verkürzt. Dieser Rückgang deutet laut Sysdig darauf hin, dass seine Kunden die Container-Orchestrierung immer besser nutzen. Allerdings sei das Sammeln von Informationen zur Fehlerbehebung, nachdem ein Container verschwunden ist, nahezu unmöglich, so dass es Sicherheitsmaßnahmen bedürfe, die mit der flüchtigen Natur der Cloud Schritt halten können.

Der vollständige „Sysdig 2023 Cloud-Native Security and Usage Report“ findet sich auf der Webseite von Sysdig.

(ID:49046965)