:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/3d/013d3c2912ede4d708738cac59bbd17e/0115123837.jpeg "Die neue Architektur des Data Lakehouses löst die alte Architektur des Data Warehouses ab. (Bild: Databricks )")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Anforderungen an Container Security Container-Sicherheit braucht passende Tools
Beim Einsatz von Container-Technologien für Applikationsentwicklung und -betrieb werden immer wieder Sicherheitsbedenken geltend gemacht. Für die weitere Verbreitung ist deshalb eine hohe IT-Sicherheit erforderlich. Mit dem Einsatz adäquater Tools ist sie aber mit vertretbarem Aufwand realisierbar.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Die Nutzung der Container-Technologie liegt im Trend. Grund hierfür sind die zahlreichen Vorteile, die mit dieser Technologie verbunden sind: Zu nennen sind beispielsweise die hohe Agilität und Portabilität, der geringe Platzbedarf oder das einfache Management. Bei der Container-Nutzung müssen aber auch – wie bei jeder neuen Technologie – die damit eventuell einhergehenden Risiken berücksichtigt werden.
Die bei Containern zu beachtenden besonderen Anforderungen kann ein Vergleich mit der physischen Welt aufzeigen. Bei zwei physischen Maschinen können diese vom Netzwerk isoliert werden, das heißt, wenn eine ausfällt oder mit einem Schadprogramm infiziert ist, ist das andere System nicht unmittelbar betroffen. In einer containerisierten Umgebung wird der Kernel des Betriebssystems von allen Containern genutzt und dies verändert natürlich auch die Angriffsfläche.
:quality(80)/images.vogel.de/vogelonline/bdb/1248600/1248637/original.jpg "Die drei Layer einer Container-Umgebung: Container-Images, Container-Hosts und Container-Plattform.")
:quality(80)/images.vogel.de/vogelonline/bdb/1248600/1248636/original.jpg "Red Hat bietet eine Reihe von Möglichkeiten, um die Einführung von Applikations-Containern im Unternehmen zu vereinfachen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1248600/1248638/original.jpg "„Eine elementare Anforderung für die erfolgreiche Container-Bereitstellung ist die Umsetzung einer durchgängigen End-to-End-Sicherheit mit einer Überwachung des Informationsflusses auf allen drei Container-Layern.“ Mike Bursell, Red Hat.")
Basis-Sicherheitsvorkehrungen sind Pflicht
Zu den grundlegenden Sicherheitsmaßnahmen sollten die ausschließliche Nutzung vertrauenswürdiger Quellen für den Container-Inhalt zählen, die Überprüfung der Applikations-Container-Inhalte und die Multi-Tenant-Isolierung.
Zur Gewährleistung einer hohen Sicherheit sollten ausschließlich Images aus einer vertrauenswürdigen Quelle verwendet werden. Eine Maßnahme wie eine digitale Signatur kann das Sicherheitsniveau zusätzlich erhöhen, da sie bestätigt, dass ein Applikations-Container nicht durch einen Dritten verändert wurde. Red Hat zum Beispiel hat vor Kurzem einen Container Health Index vorgestellt, ein einfaches Bewertungssystem von A bis F für die Container-Sicherheit. Es zeigt, wie Images für Produktivumgebungen genutzt und evaluiert werden sollten. Die Bewertung basiert unter anderem auf dem Alter von Container-Images und den Auswirkungen nicht behobener Sicherheitsprobleme bei den Komponenten eines Containers.
Ebenso wichtig wie die Verifizierung der Herkunft eines Applikations-Containers ist die Überprüfung der Inhalte. Ähnlich wie Deep Packet Inspection Netzwerkpakete im Hinblick auf gefährliche Inhalte analysiert, untersucht Deep Container Inspection (DCI) den Content von Containern. Diese Funktionalität ist unerlässlich, denn die Überprüfung des Programmcodes hinsichtlich Sicherheitslücken ist ein wesentlicher Erfolgsfaktor bei der Entwicklung, Implementierung und dem Betrieb vertrauenswürdiger Applikationen, die auf Container-Technologien basieren. Für die einfache Überprüfung von Container-Inhalten empfiehlt sich zum Beispiel die Nutzung von Container-Scannern, wie sie durch OpenSCAP oder Black Duck angeboten werden. Solche Scans sollten standardmäßig in Produktivumgebungen eingesetzt werden, zudem passen sie perfekt zu Ansätzen wie DevOps.
Eine unverzichtbare Maßnahme ist nicht zuletzt die Multi-Tenant-Isolierung. Dadurch erhalten Container keinen Zugriff auf die Ressourcen anderer Container oder auf die Ressourcen des zugrundeliegenden Hosts. Unterstützt wird die Multi-Tenant-Isolierung durch viele zugrundeliegende, integrierte – oder sich im Integrationsprozess befindliche – Linux-Sicherheitstechnologien mit verschiedenen Container-Runtime-Technologien, einschließlich Seccomp, Namespaces und SELinux.
End-to-End-Sicherheit umfasst alle drei Container-Layer
Es gibt drei Bereiche, in denen Unternehmen vorhandene und neue Security-Techniken einsetzen können: Container-Images, Container-Hosts und Container-Plattform.
1. Container-Images
Die Basis der Container-Images bilden unter anderem Betriebssystem-Libraries, Laufzeitabhängigkeiten (Java, PHP, Ruby), Middleware und Datenbanken.
Die Kontroll- und Überwachungsmechanismen in diesen Bereichen sind bereits aus der Verwaltung von physischen und virtuellen Server-Umgebungen bekannt. Sie können genauso bei Container-Images angewendet werden.
Nutzbar sind etwa Techniken wie:
- Security-Scans
- Remediation und Patching
- CVE (Common Vulnerabilities and Exposures)-Datenbanken
- Begrenzung von Root-Zugriffsmöglichkeiten
- Begrenzung von User-Zugriffen
Darüber hinaus besteht im Container-Umfeld aber auch die Möglichkeit, zusätzliche Techniken anzuwenden. Das betrifft vor allem die beiden Bereiche Image-Signing und Read-Only-Container. So besteht die Möglichkeit des Container-Image-Signings, das heißt der Anwender kann einem Image einen digitalen Fingerabdruck hinzufügen. Nutzer können so die Quelle, Integrität und Authentizität eines Container-Images verifizieren. Zudem besteht die Möglichkeit, Container-Images in der Produktivumgebung in einem Read-Only-Modus zu betreiben, auch bekannt als „Immutable-Runtime-Container“.
2. Container-Hosts
Auf dem Container-Host-Layer sind gängige Techniken zur Gewährleistung einer hohen Sicherheit: SELinux, Secure computing mode (Seccomp), Namespaces und Capabilities. Mit der sVirt-Technologie steht auf Basis prozessbasierter Mechanismen und Restriktionen ein zusätzlicher Sicherheitslayer zur Verfügung.
3. Container-Plattform
Auf dem Container-Plattform-Layer schließlich geht es um die Zugriffskontrolle für Enduser und auch Administratoren. Der Layer existiert auch in der Welt der physischen und virtuellen Server, allerdings typischerweise als reines Administrationstool. In Container-Umgebungen ist es üblich, Zugriffsberechtigungen selektiv zu delegieren: an Entwickler, Architekten oder Applikationsverantwortliche.
Die Techniken im Überblick:
- Rollenbasierte Autorisierung
- Authentifizierung (zum Beispiel unter LDAP-Nutzung)
- Isolierung von Entwicklungs-, Test- und Produktivumgebungen
- Netzwerksegmentierung
Zusammengefasst ist festzuhalten, dass sich die Implementierung von Sicherheit für Container von vorhandenen Techniken nicht in einem Maße unterscheidet, wie es scheinen mag. Viele existierende Tools sind anwendbar und mit der Ergänzung einiger spezifischer Techniken kann eine hohe Container-Sicherheit erreicht werden. Der zentrale Unterschied zu vorhandenen Umgebungen und eine elementare Anforderung für die erfolgreiche Container-Bereitstellung ist die Umsetzung einer durchgängigen End-to-End-Sicherheit mit einer Überwachung des Informationsflusses auf allen drei Container-Layern: Container-Images, Container-Hosts und Container-Plattform.
Über den Autor: Mike Bursell ist Chief Security Architect bei Red Hat.
(ID:44767001)
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/a6/e1/a6e15b9f1a94c153e82d548c3dd90e61/0109476138.jpeg "Die Portabilität und Interoperabilität von Container-Technologien sind die wichtigsten Kernziele der Open-Container-Initiative. (Bild: <a href=https://www.pexels.com/@dibert/>David Dibert</a>)")