:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/3d/013d3c2912ede4d708738cac59bbd17e/0115123837.jpeg "Die neue Architektur des Data Lakehouses löst die alte Architektur des Data Warehouses ab. (Bild: Databricks )")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Security-Management für das IoT-Edge Das sichere Manövrieren von Software-Containern
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Das Rechenzentrum der Zukunft muss die Ränder mit den Sensoren vor Ort sicher handhaben können. Trusted Container Management-Systeme wie „Docker Enterprise“ mit einem hardwarebasierten Trust-System wie TPM zu verheiraten, ist dabei ein durchaus bedenkenswerter Ansatz.
Das Rechenzentrum der Zukunft soll maximal beweglich in Sachen Workloads und maximal anpassungsfähig bezüglich der verwendeten Infrastrukturen und anfallenden Volumina sein. Handliche Programme, in die eine Problemstellung zerlegt wird, sollen ein ereignisgetriebenes Rechenzentrum ermöglichen, das schnell auf neue Herausforderungen umgebaut werden kann und sich mit Hilfe von maschinellem Lernen prinzipiell auch weitgehend autonom betreiben lässt.
Die „Ereignisse“ eines ereignisgetriebenen Rechenzentrums kommen in aller Regel von den Sensoren und Vor-Ort-Rechnern („Fog-Rechner“) draußen im Feld, sei das Feld nun autonomes Fahren, KI-gesteuerte Fertigung oder die „smarte Stadt“. In diesem „IoT-Bereich“ entstehen die Daten, die nach einer ersten Analyse „vor Ort“ (am „Edge“) dann im zentralen Datacenter zusammengeführt und ausgewertet und in veredelter Form wieder zurückgespielt werden, etwa um über Schalter und andere Aktoren bestimmte Aktionen auszuführen.
Die Ereignisbündel werden programmtechnisch in so genannten Microservices realisiert, die allein über APIs und Messaging-Dienste miteinander kommunizieren. Dadurch sind einzelne Komponenten funktional unabhängig voneinander und lassen sich relativ einfach in immer neue Konstellationen einbringen. So werden die oben angesprochenen Prinzipien der Agilität, Portabilität und Skalierbarkeit erreicht.
Orchestrierte Container
Diese Flexibilität hat – wie alles im Leben und in der IT – einen Preis. Der „digitale Flohzirkus“ muss zuverlässig unter Kontrolle gehalten werden. Zum einen muss er orchestriert werden, das heißt, die einzelnen Microservices benötigen wie die Instrumente in einem Symphonieorchester einen Programm-Dirigenten, der ihr Zusammenspiel inszeniert und koordiniert; zum anderen stellt die erwünschte Flexibilität hohe Anforderungen an die Sicherheits-Infrastruktur. Und die hängt eng mit der Frage einer funktionierenden Isolierung der einzelnen Microservices zusammen; denn nur wenn die Komponenten inhaltlich nicht verzahnt sind, lassen sie sich problemlos neu arrangieren.
Aus technischer Sicht erreicht man die Isolierung dadurch, dass man die Komponenten als sogenannte Container konzipiert, deren Daten sicher verschlüsselt sind. Der Datenaustausch wird ebenfalls verschlüsselt und der Zugang zu den einzelnen Containern wird durch eine strenge Authentifizierung gewährleistet, die ebenfalls auf Verschlüsselungs-Algorithmen basiert.
Trusted Platform Module (TPM) als Sicherheitsanker
Bei der Etablierung eines umfassenden und konsistenten Konzepts zur Sicherung der Abläufe in einem solchen ereignisgetriebenen Rechenzentrumskontext steckt der Teufel aber oft im Detail. Und es sind auch unterschiedliche Ansätze denkbar, die durchaus ihre jeweilige Berechtigung haben.
In dem Whitepaper „Securing the IoT Edge with Trusted Docker Containers“ entwerfen die Autoren (von Docker Inc. und Intel) eine Sicherheitsstrategie auf der Basis der Platform Trust Technology und des Kryptochips „Trusted Platform Module“, einem nicht unumstrittenen ISO-Standard. Die Autoren sprechen von „ausgefeilten Sicherheitselementen in der Docker Enterprise Engine“ auf der Basis der Platform Trust Technology. Bekanntlich wurde Ende 2019 die Docker Enterprise Engine von Mirantis gekauft, so dass für Interessenten die letztgenannte Firma Ansprechpartner ist (was auch im Link zum Download des White Papers sichtbar wird).
:quality(80)/images.vogel.de/vogelonline/bdb/1643100/1643115/original.jpg "Mirantis kauft das Enterprise-Geschäft von der Docker Inc. (Mirantis/Docker)")
Kubernetes-Docker-Fusion unter der Mirantis-Haube
Mirantis kauft die Docker-Enterprise-Platform
Kern der Platform Trust Technology ist der Kryptochip „Trusted Platform Module“ (TPM). Die Betriebssysteme Windows (ab Version 8) und Linux sind mit TPM kompatibel. Rechner (mobile und Desktops) auf Windows- und Linux-Basis können also den Kryptochip nutzen.
In dem TPM-Chip sind alle Authentifizierungsvorgänge verankert: für die Container und die Verschlüsselung der Daten auf den verschiedenen Speichermedien, für die Übertragung der Daten im Edge-Bereich und auch in Richtung zentrales Rechenzentrum, ganz egal ob sich dieses real im Unternehmen (on-premise) oder in der Cloud befindet. Diese Verankerung bedeutet, dass die Container und deren Daten sowie die Übertragungswege von der Edge ins Rechenzentrum immer über die Hardware laufen müssen, auf der sich der Kryptochip befindet.
Der Pin zur Authentifizierung und Verschlüsselung ist an diese Hardware gebunden und eben nicht an den Benutzer, wie das beispielsweise bei einer Smartcard der Fall ist. Ein Cyber-Krimineller müsste also nicht nur den Pin stehlen, sondern auch die dazugehörige Hardware, und er oder sie müsste überdies das biometrische Merkmal des Nutzers irgendwie aushebeln, um die Hardware zu knacken.
Sichere Container-Infrastruktur
Die Docker Enterprise / Intel TPM-Architektur für eine sichere Container-Infrastruktur wird in dem White Paper sehr detailliert beschrieben. Einzelheiten können dort nachgelesen werden. In diesem Artikel sollen nur einige Beispiele gegeben werden, die den methodischen Ansatz zeigen und das Sicherheitsniveau, das damit erreicht wird.
Im Folgenden stellen wir die die Software-Komponenten und Frameworks vor, die zwischen das Silizium und die Docker Enterprise Infrastruktur eingebaut sind.
- Der TPM 2.0 Software Stack stellt eine Verbindung zwischen den TPM-Systembefehlen und den Nutzer-Anwendungen her.
- Die TPM 2.0 PKCS#11 API macht das Trusted Platform Module für verschiedene Typen von Hardware-Verschlüsselungs-Maschinen ansprechbar.
- Die TPM 2.0 Integration Utilities bieten ein High-Level Framework für das Zusammenspiel von TPM mit LUKS (Linux Unified Key Setup), dem Standard-Verschlüsslungsverfahren für Festplatten unter Linux.
- Die Integrated Measurement Architecture (IMA) ist ein quelloffenes Framework, das Verfahren anbietet, die vor Angriffen auf das Meta-Daten-Dateisystem und aus dem Offline-Bereich schützen. In der hier beschriebenen Docker-Intel-Container-Sicherung ist die IMA speziell auf das Trusted Platform Module zugeschnitten.
- SELinux (Security Enhanced Linux) ergänzt die Zugangs-Kontrollmechanismen von Windows durch noch detailliertere Zugangskontrollmechanismen.
Aufmerksamkeit für die Eigenheiten des TPM-Konzepts
Mit der Version 3.0 des Docker Enterprise Pakets können Zugangsdaten in einem TPM gespeichert werden, so dass der Authentifizierungsprozess eines Endgeräts mit der Docker Trusted Registry noch einmal sehr viel sicherer wird. Dieses Mehr an Sicherheit umfasst im Einzelnen folgende Punkte:
- Die Zugangsdaten werden in TPM erzeugt und gespeichert.
- Die Client-Sicherheit hängt an einem TPM und kann nicht geklont oder kopiert werden.
- Im Zusammenspiel mit RBAC (rollenbasierte Zugangskontrolle), die von der Docker Trusted Registry geliefert wird, sind feingranulare Zugangsbestimmungen möglich, durch die Benutzern, Teams und Organisationen nur solche Applikationen und Repositorys zur Verfügung gestellt werden, die sie unbedingt für ihre Arbeit benötigen.
Mit der Anbindung des Docker Enterprise Stack an die TPM-Architektur bieten Intel, Docker (und Mirantis als Systemintegrator) eine durchgängige Sicherheits-Gestik für Container-Infrastrukturen, die hardwarebasiert, sprich in dem Trusted Platform Module, verankert ist. Benutzer, Operatoren, Prozess-Eigner, Admins und Entwickler können diesen Sicherheits-Stack auf dazu kompatiblen Boards unter Windows und Linux nutzen.
Das Fazit des Autors
Die hier beschriebene Sicherheits-Architektur ist gewiss ein interessanter und wichtiger Ansatz, um die digitalen Container am Edge sicher zu manövrieren. Interessenten sollten aber auch die Einschränkungen beziehungsweise die Eigenheiten des TPM-Konzepts im Auge haben.
* Jürgen Höfling ist freier Journalist aus München.
(ID:46493483)
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "0114675276 (Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/53/1d/531d0dcb386110ebe63ada0685b25f54/0112356088.jpeg "Suse erweitert sein Softwarepaket, damit Kunden ihre digitale Transformation vorantreiben können. (Bild: © – JEGAS RA – stock.adobe.com)")