pattilabelle - Fotolia

Regeln für den sicheren Einsatz von Containern

Wie jede andere Software müssen sich Container verschiedenen Herausforderungen in Bezug auf ihre Sicherheit stellen. Folgende Tipps helfen dabei.

Gefährlich sind vor allem angreifbare Sicherheitslücken in containerisierten Komponenten, eine Problematik, die durch die einfache Bereitstellung von Container noch verschärft wird. Verwenden Unternehmen keine Tools, um die Sicherheit ihrer Container zu managen, dann können diese leicht zum Angriffsziel von Hackern werden. Um genau das zu vermeiden, sollten Unternehmen die folgenden Regeln beherzigen.

Unternehmen müssen sicherstellen, dass der innerhalb des Containers verwendete Code aus einer bekannten und vertrauenswürdigen Quelle stammt. Was befindet sich im Container und aus welcher Quelle stammt es? Technologien zur Validierung und Zertifizierung leisten gute Dienste um Quellen als vertrauenswürdig einzustufen.

Tools wie Docker Content Trust entlasten Unternehmen dabei: Mithilfe von Public-Key-Kryptographie erzeugen Publisher digitale Signaturen, mit denen sie für die Integrität der im Container bereitgestellten Anwendungen bürgen. So können Unternehmen sich davor schützen, dass gefährliche oder schadhafte Container-Images den Weg in die Codebasis finden.

Container-Images auf Sicherheitslücken überprüfen

Schwachstellen können für einen Angriff genutzt werden und dürfen nicht über Container in die Unternehmens-IT gelangen. Dass ein Container verifiziert wurde, garantiert noch nicht, dass alle in ihm enthaltenen Anwendungen und die Supporting Files auch frei von Sicherheitslücken sind, denn Container enthalten nicht nur Anwendungen, die vom Entwicklungsteam geschrieben wurden.

Zusätzlich bündeln Entwickler Software von Dritten und Linux-Module, ohne die die Anwendungen nicht funktionieren würden. Alle diese Komponenten können veraltet sein oder unsichere Bestandteile enthalten.

Sichtbarkeit des Open Source Code

Die Herausforderung, die Software-Sicherheitslücken zu verwalten, wird aufgrund ihres Ausmaßes und der Komplexität immer schwieriger, insbesondere dann, wenn hunderte oder gar tausende Open-Source-Software-Komponenten und -Lizenzen Teil der Code Basis sind. Seit 2014 wurden mehr als 6.000 Open-Source-Sicherheitslücken entdeckt. Das zeigt, wie wesentlich ein umfassender Einblick in die genutzte Open Source Software ist. Nur so können Unternehmen ein Verständnis für die Schwachstellen im Container entwickeln.

Die Nutzung von Open Source ist heutzutage bei der Entwicklung von Anwendungen de facto nicht mehr wegzudenken. Unternehmen müssen entsprechend reagieren und aufhören, die Open-Source-Sicherheit und das Management von Sicherheitslücken in der Software als nachgeordnetes oder alleinstehendes Problem zu behandeln. Wer Open Source beim Testen der Anwendungssicherheit ignoriert, läuft Gefahr, sein Unternehmen völlig unvorbereitet und fahrlässig einem mitunter kostspieligen Hackerangriffs auszusetzen.

Abbildung 1: Dass ein Container verifiziert wurde, garantiert noch nicht, dass alle in ihm enthaltenen Anwendungen und die Supporting Files auch frei von Sicherheitslücken sind.

Beim Absichern und Managen von Open Source gibt es noch viel Luft nach oben. Eine kürzlich von Black Duck durchgeführte Analyse von 200 kommerziellen Anwendungen ergab, dass 67 Prozent der Applikationen bekannte Open-Source-Schwachstellen enthielten, von denen über ein Drittel als „ernsthaft“ eingestuft wurde.

Statische und dynamische Tests zur Anwendungssicherheit sowie Run-time Application Self-Protection (besser bekannte als SAST, DAST, beziehungsweise RASP) sind notwendig, um Sicherheitslücken in der Anwendung zu finden – vor allem im benutzerdefinierten Code. Doch diese Tests alleine reichen nicht aus: Von den mehr als 6.000 seit 2014 gemeldeten Sicherheitslücken wurden nur eine Handvoll mithilfe von statischen und dynamischen Test-Tools gefunden.

„Nur wer weiß, welche Open-Source-Komponenten und -Versionen genutzt werden, kann feststellen, ob seine Software von bekannten Sicherheitslücken betroffen ist.“

Randy Kilmon, Black Duck Software

 

Unternehmen brauchen eine ganzheitliche Applikationssicherheitslösung, die sowohl Open Source Security als auch proprietären Code erkennen, verwalten und auf Schwachstellen überprüfen. Sie müssen in der Lage sein, ein Verzeichnis der betreffenden Sicherheitslücken zu erstellen, sie mit den Schwachstellen-Datenbanken abzugleichen und Entwickler oder Verantwortliche sofort zu benachrichtigen, wenn ein Problem auftaucht.

Container während der gesamten Einsatzzeit verwalten

Wer sicher sein will, dass seine Container wirklich geschützt sind, der benötigt ein effektives Security-Management mit festgelegten Prozessen. Diese Prozesse müssen alle Anwendungen innerhalb des Containers einschließen, und zwar von deren Entwicklung bis zur Bereitstellung sowie über deren gesamten Lebenszyklus hinweg. Unternehmen können entsprechende Risiken nur minimieren, indem sie die Inhalte ihrer Container regelmäßig überprüfen.

Sicherheit heißt Sichtbarkeit

Nur wer weiß, welche Open-Source-Komponenten und -Versionen genutzt werden, kann feststellen, ob seine Software von bekannten Sicherheitslücken betroffen ist. Ein Prozess, der gewährleistet, dass die zugrundeliegenden Informationen auch nach der Bereitstellung des Containers immer auf dem neuesten Stand sind, ist ebenfalls notwendig. Anwendungen veralten, neue Versionen werden veröffentlicht und mit ihnen weitere Sicherheitslücken aufgedeckt, welche die Angriffsfläche für Hacker vergrößern. Nur wer sich laufend informiert, kann feststellen, ob seine Container von neu entdeckten Schwachstellen betroffen sind – und das über den gesamten Applikationslebenszyklus hinweg.

Wer sich an die Regeln – Sichtbarkeit, Erkennung und Nachverfolgung – hält und sie zusammen mit zuverlässigen Maßnahmen und orchestrierten Technologien umsetzt, kann garantieren, dass seine Container zuverlässig und sicher verwaltet werden.

Über den Autor:
Als Vice President of Engineering ist Randy Kilmon an der Entwicklung von Produktstrategien und -Roadmaps für OSS-Compliance und Sicherheitslösungen bei Black Duck Software verantwortlich.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Angriffspunkt Open-Source-Software.

Überfällige Fragen im Zusammenhang mit der Container-Virtualisierung.

Wie kann man ein Docker-Backup zuverlässiger und konsistenter machen?

Neuer Essential Guide zur Container-Virtualisierung.

Erfahren Sie mehr über Enterprise Resource Planning (ERP)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close