msg
16.09.2019, 07:27 Uhr
Drei Faktoren zur Erhöhung der Containersicherheit
msg zeigt auf der it-sa 2019 – Europas größter IT-Security-Messe – vom 8. bis 10. Oktober im Messezentrum Nürnberg – worauf es bei Nutzung von Container-Technologien und Container-Orchestration aus Security-Sicht ankommt.
DevOps sind aus der agilen Softwareentwicklung nicht mehr wegzudenken. Dabei kommen in DevOps-Szenarien Docker und andere Container-Technologien immer häufiger zum Einsatz, denn sie bieten zahlreiche Vorteile. Da Container als in sich geschlossene Einheiten betrachtet werden können, die jeweils eine ganz bestimmte Funktionalität erfüllen, lassen sich Entwicklungs- und Betriebsprozesse deutlich vereinfachen und die Qualität der Leistungserbringung steigt. Schnellere Rollouts und Updates werden möglich. Zusammengenommen führt dies zur Effizienzsteigerung, was schließlich auch das Hauptziel von DevOps ist.
Unbeachtet bleibt jedoch häufig die Tatsache, dass die Allzweckwaffe Container nicht primär als Sicherheitsfeature entwickelt wurde. Damit Container und die Container-Orchestration keine Einfallstore für IT-gestützte Angriffe schaffen, sollten, so msg, bei der Nutzung von Docker, Kubernetes und Co unter anderem folgende Faktoren beachtet werden:
1. Container müssen „leicht“ bleiben
Die Sicherheitsrisiken lassen sich gering halten, wenn Container nicht „zweckentfremdet“ werden und ausschließlich der Software vorbehalten bleiben, die tatsächlich benötigt wird. Es gilt: Je mehr Software in einem Container enthalten ist, desto größer ist die potenzielle Angriffsfläche und desto mehr Möglichkeiten hat auch ein Angreifer.
2. So viele Rechte wie nötig – so wenige Rechte wie möglich
Container sollten stets mit minimalen Rechten laufen. Die notwendigen Rechte für jede beteiligte Person zu bestimmen, ist oft zeitaufwendig und nicht einfach. Der Aufwand ist jedoch notwendig und lohnt sich. Denn nur so kann man ausschließen, dass ein Angreifer jede zusätzlich vergebene Berechtigung erlangen kann, sollte es ihm gelingen, einen Container zu übernehmen.
3. Netzsegmentierung ist auch bei Container-Orchestration Pflicht
Ein flaches, nicht segmentiertes Netzwerk klingt verlockend und ist einfach umzusetzen. Jedoch erleichtert ein solches Netzwerk einem Angreifer, Seitwärtsbewegungen innerhalb des Netzwerks durchzuführen. Eine Netzwerksegmentierung, also die Aufteilung der Netzwerke in getrennte, logische Bereiche, erschwert es einem Angreifer, Zugriff auf weitere Systeme zu erhalten. Eine durchdachte Netzsegmentierung ist somit nicht nur in klassischen Netzwerken, sondern auch bei der der Container-Orchestration Pflicht.
Fazit
Fällt die Entscheidung, Container- sowie Orchestrations-Technologien für Softwareentwicklung und -betrieb einzusetzen, sollten Sicherheitsaspekte bereits vor der Einführung beachtet werden. Eine gute Planung ist hier unerlässlich. Zusätzlich muss die Sicherheit während des gesamten Lebenszyklus der Container aufrechterhalten und verbessert werden. Dazu müssen alle Beteiligten wissen, welche Anforderungen zu beachten sind und über das entsprechende Know-how verfügen, diese Anforderungen auch umsetzen zu können. Da sich nicht nur die Anwendungen und die genutzten Technologien ständig weiterentwickeln, sondern auch die Angriffstechniken, ist es notwendig, die Sicherheitsanforderungen stetig an die neuen Gegebenheiten anzupassen.