:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Schwachstellen-Management für Container Sicherheit bei der Verwendung von Containern
Der Hype um Container und den Betrieb von Workloads als Microservice ist mittlerweile auch in der Windows-Welt angekommen. Windows Server 2016 unterstützt Container, genauso wie Linux und VMware mit vSphere. Die Sicherheit darf dabei aber nicht vernachlässigt werden, unabhängig vom eingesetzten Betriebssystem.
Gesponsert von
Der Vorteil von Containern liegt auf der Hand. Vor allem Microservices, aber auch andere Workloads wie Webserver, Web Apps oder anderen Anwendungen, lassen sich in Containern schneller bereitstellen und skalierbarer betreiben. Die Fehler bei der Bereitstellung herkömmlicher Server-Workloads sollen bei der Verwendung von Containern minimiert werden, und Anwendungen lassen sich schneller bereitstellen. Darüber hinaus ist die Lösung kostengünstiger oder sogar kostenlos.
Die Verwendung von Containern ist aber kein Allheilmittel. Container werden über Images bereitgestellt. Enthält der Code des Images Schwachstellen, dann werden diese Schwachstellen auf alle Container übertragen, die dieses Image und diesen Code nutzen. Wird der Code nicht optimiert und werden Schwachstellen nicht entfernt, helfen auch zusätzliche Sicherheitstools nicht. Aus diesem Grund spielt die Sicherheit und deren Überwachung bei Containern eine besondere wichtige Rolle. Vor allem können die klassischen VM Lösungen keine Container scannen oder sogar erkennen.
Container teilen sich den Betriebssystemkern und andere Funktionen mit dem Container-Host und damit generell auch mit anderen Containern. Es besteht daher die Gefahr, dass ein Container andere Container kompromittieren kann, wenn er erfolgreich angegriffen wurde, und sogar Zugriff auf unberechtigte Bereiche des Host-Betriebssystems erhalten kann.
Microsoft versucht das in Windows Server 2016 zum Beispiel mit den Hyper-V-Containern zu umgehen, in dem jedem Container ein eigener Betriebssystem-Kernel zur Verfügung gestellt wird. Allerdings ist auch hier nicht sicher, ob ein übernommener Hyper-V-Container keine Gefahr für andere Container darstellt.
So sorgen die Anbieter für mehr Sicherheit
Docker, einer der bekanntesten Anbieter für Container, integriert in neuen Versionen seiner Container-Software ständig neue Sicherheitsfeatures, wie zum Beispiel das strikte Trennen der Container-Operationen und der Systemebene des Hosts. Docker erlaubt bei den Linux-Containern eine solche strikte Trennung zum Linux-Container über Secure Compute Mode (Seccomp). Dadurch wird zum Beispiel festgelegt, dass nur Aufrufe an den Kernel gestattet sind, die zuvor festgelegt wurden. Alle anderen Aufrufe blockiert das System. Natürlich müssen diese Aufrufe auch entsprechend definiert und vor allem auch überwacht werden.
Bei Opensource-Code umsichtig vorgehen
Manche Entwickler oder Administratoren übernehmen Opensource-Code nahezu ungeprüft in eigene Images, Repositories oder anderen Objekten, und dann später auch in die eigenen Container oder Images. Enthält der Code Fehler, dann sind diese Fehler auch in allen Containern enthalten, die auf diesem Code aufbauen.
Wie jede Software enthält natürlich auch Open Source-Code Fehler, die zwar durch die Community häufig erkannt und entfernt werden, aber dennoch eine Rolle für die Bereitstellung spielen. Denn nicht in allen Versionen einer Software sind alle Fehler bereits behoben. Dazu kommt, dass durch neue Versionen häufig auch neue Sicherheitslücken entstehen. Ungeprüft sollte Open Source-Code also auch bei Containern nicht verwendet werden, und Aktualisierungen sollten natürlich so schnell wie möglich bereitgestellt werden, idealerweise auf allen Containern. Vor allem vor der Bereitstellung zahlreicher Container sollte genau überprüft werden, ob der Code und die verwendeten Images keine Sicherheitslücken enthalten.
Befinden sich in einem Container Sicherheitslücken, zum Beispiel durch ein veraltetes Betriebssystem oder Sicherheitsschwachstellen bei integrierter Software oder vorhandener Libraries, dann wirken sich diese auf den kompletten Container aus, auch wenn der Herausgeber der Container-Software generell zuverlässig ist. Wird der Container als Image definiert und werden auf Basis dieses Images weitere Container erstellt, dann wirken sich die Sicherheitslücken gravierender aus. Das sollte bei der Bereitstellung beachtet werden.
Sensible Daten absichern und Firewalls einsetzen
In diesem Bereich spielen natürlich auch die Daten eine wichtige Rolle, die im Container verarbeitet werden. Außerdem muss geplant werden, an welcher Stelle im Netzwerk Container positioniert werden. Hier sind vor allem die interne und externe Firewall wichtig. Vor allem bei Containern, die über das Internet erreichbar sind, spielt die Sicherheit eine maßgebliche Rolle, da diese Container besonders leicht erreichbar und damit angreifbar sind.
Öffentliche Systeme lassen sich mit verbreiteten Angriffen natürlich schneller erreichen, als Container, die komplett im internen Netzwerk zur Verfügung stehen. Hier spielt natürlich auch die Firewall eine wichtige Rolle. Angriffe wie SQL Injection oder Denial-Of-Service-Attacken sind auch für Container ein Problem, nicht nur für herkömmliche Serversysteme. Sicherheitslücken in öffentlichen Systemen sollten zuverlässig erkannt und so schnell wie möglich behoben werden.
Virtualisierung kann auch Probleme bereiten
Es gibt mittlerweile Angriffe auf Virtualisierungs-Hosts, beziehungsweise auf virtuelle Server, die es ermöglichen, aus einer VM heraus auf den Host und damit auf andere VMs zuzugreifen. Wird ein Container-Host virtualisiert, besteht also durchaus die Gefahr, dass sowohl die Container, als auch der Container-Host sowie der physische Virtualisierungs-Host von Angreifern übernommen werden können. Diese Schwachstellen sollten von vorneherein in die Sicherheitsplanung mit eingeschlossen werden.
Sicherheitslücken durch Anwendungen
Sicherheitslücken und damit verbundene Probleme tauchen aber nicht nur durch Container und deren Images auf, sondern natürlich auch durch die Anwendungen, die im Container betrieben werden. Auch hier muss darauf geachtet werden, dass Sicherheitslücken möglichst schnell geschlossen und die verschiedenen Container auf den neusten Stand gebracht werden.
Container lassen sich in hoher Geschwindigkeit sehr einfach skalieren und bereitstellen. Dadurch werden fehlerhafte Anwendungen ebenfalls schnell im Netzwerk verbreitet. Durch diesen Vorgang entsteht dann nicht nur eine Sicherheitslücke, sondern gleich mehrere. Hier sind vor allem Web Apps betroffen, die auch öffentlich zugänglich sind.
Container sind außerdem sehr dynamisch. In skalierbaren Umgebungen kann es notwendig sein, dass zu Spitzenzeiten mehr Container zur Verfügung stehen, als bei normaler Last in der Umgebung. Dadurch lassen sicher Sicherheitslücken wesentlich schwerer finden und die Umgebung ist komplizierter in der Verwaltung. Aus diesem Grund sollte die Umgebung und deren Anwendungen entsprechend überwacht werden.
Schwachstellenmanagement-Plattform einsetzen – Tenable.io
Es wird schnell klar, dass Unternehmen, die auf Container setzen, und damit in den meisten Fällen eine Vielzahl an Container-Hosts und Container, eine Lösung brauchen, um für mehr Sicherheit zu sorgen. Beim Betreiben einer heterogenen Umgebung, in der Container verschiedener Hersteller und Versionen eingesetzt werden, ist das noch wichtiger.
Tenable.io überwacht die Container im Netzwerk und zeigt den Sicherheitsstatus verschiedener Container an und vor allem der Container-Images. Auch das Umsetzen von Richtlinien und die Erkennung von Malware ist damit möglich. Neben der Überwachung der Container und deren Images, lassen sich auch die Anwendungen in den Containern überwachen. Durch das Scannen von Web Apps wird die Sicherheit der Anwendung selbst und des Containers sowie der anderen Container im Netzwerk sichergestellt. Durch diese Sicherheitsfunktionen werden die Container wesentlich sicherer bereitgestellt, als ohne eine Lösung, welche die Sicherheit überwacht und Richtlinien umsetzt. Denn Tenable.io überwacht Container und die installierten Anwendungen.
Tenable.io bietet eine Testversion, die für 60 Tage funktioniert. Das Tenable.io-Schwachstellen-Management bietet auch in der Testversion eine Cloudbasierte Verwaltung an und bietet in der Demoversion nach 60 Sekunden erste Ergebnisse. Ein Blick auf die Demoversion lohnt sich also in jedem Fall, da so recht schnell klar wird, wo bei den Containern Sicherheitslücken entstehen.
Fazit
Die Sicherheit spielt auch in der Container-Technologie eine wichtige Rolle, unabhängig davon welcher Hersteller eingesetzt ist. Neben einer vernünftigen Planung für mehr Sicherheit, sollten sich Verantwortliche im Unternehmen auch Gedanken über eine Lösung wie Tenable.io machen, die Cloudbasiert für mehr Sicherheit bei Containern sorgen kann. Denn unsichere Container oder Container-Images mit unsicheren Anwendungen können für ein Unternehmen eine noch größere Gefahr darstellen, als einzelne unsichere Server.
Diese fallen in den meisten Fällen schneller auf, als ein unsicherer Container unter zahlreichen anderen. Ist auch noch ein Container-Image unsicher, werden die Sicherheitslücken auf alle Container übertragen, die durch dieses Image bereitgestellt werden. Die regelmäßige Überprüfung von Container-Images stellt eine wichtige Herausforderung für Administratoren und Entwickler dar.
Zur Überwachung und Verbesserung der Sicherheit gehört allerdings nicht nur die Aktualisierung und Absicherung der Container-Images und Container im Zeitraum der Bereitstellung, sondern während des kompletten Lebenszyklus. Denn vor allem bei langlaufenden Containern können sich Sicherheitslücken auftun, die bei der Bereitstellung noch nicht vorhanden waren. Lösungen wie Tenable.io helfen, auch diese zu entdecken und zu schließen.
(ID:44655414)
:quality(80)/p7i.vogel.de/wcms/35/3d/353d33f859ce94947973c2ade1c08a88/0113466965.jpeg "Tastaturnavigation ist nur eine von vielen Möglichkeiten, für mehr Barrierefreiheit in der Web-App-Bedienung zu sorgen. (© Rawf8 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/ea/08eaf2ff7a800e278da8a62d38048d08/0108655897.jpeg "Der User kann per Azure-Default die Einwilligung zu den angeforderten App-Berechtigungen erteilen. (Bild: Drilling / Microsoft)")