TechTarget

valerybrozhinsky - stock.adobe.c

Tipp

Container-Umgebungen mit Tools auf Malware scannen

Die Zahl der Malware-Angriffe steigt und steigt. Auch Container sind ein Einfallstor für Schadcode. Warum Scans der Container so wichtig sind und welche Tools sich dafür eignen.

Joydip Kanjilal
von
Zuletzt aktualisiert:19 Dez. 2022

Container sind eine beliebte Methode zum Packaging von Anwendungen, da sie gegenüber traditionellen Virtualisierungstechniken viele Vorteile haben. Da Container aber komplette Anwendungsumgebungen enthalten können, besteht immer auch die Gefahr von Malware.

Das Scannen von Containern nach Schädlingen ist daher eine unverzichtbare Maßnahme, um die Sicherheit der Containerumgebung und auch der allgemeinen Sicherheit der gesamten IT-Umgebung eines Unternehmens zu garantieren. Hilfreich sind vor allem dedizierte Malware-Scanner für Container, mit denen Admins ihre Umgebung auf schädliche Inhalte und verdächtige Aktivitäten prüfen.

Wie funktioniert das Scannen nach Malware in Containern?

Malware-Scanner für Container nutzen entweder statische oder dynamische Analysen, um Schadcode oder andere unerwünschte Aktivitäten zu entdecken. Bei rein statischen Analysen werden alle Inhalte eines Containers auf bekannte Indikatoren und Hinweise auf Infektionen gescannt. Dazu werden meist die gleichen Malware-Signaturen wie bei klassischen Virenscannern für Desktop-PCs und Server verwendet.

Viele Sicherheits-Tools bieten Malware-Scans in der einen oder anderen Form, egal ob es sich um rein kommerzielle oder um Open-Source-Lösungen handelt. Unternehmen haben mehrere Möglichkeiten, um diese Sicherheitsmaßnahmen in ihren Umgebungen einzuführen. So führen zum Beispiel einige Firmen lieber interne Scans durch, während andere dafür externe Dienstleister beauftragen. Viele setzen Tools zum Scannen nach Malware in Containern als Teil ihrer allgemeinen Sicherheitsstrategie zum Schutz ihrer Anwendungen ein, während manche Firmen dies als strikt getrennte Maßnahme betrachten.

Auch wenn das Scannen auf Schadcode eine effektive Methode zum Verbessern der Sicherheit von Anwendungen in Containern ist, handelt es sich dabei nicht um ein Patentrezept für jedwede Situation. Die dafür verwendeten Scanning-Tools können nur Schadcode oder Aktivitäten entdecken, die bereits in einem Container-Image enthalten sind. Sie können aber nicht immer verhindern, dass bislang unbekannte Malware in einen Container eingeschleust wird. Um Anwendungen in Containern daher umfassend zu schützen, ist es wichtig, zusätzliche Sicherheitsmaßnahmen umzusetzen. Dazu gehören vor allem Application Firewalls sowie IDS- und IPS-Lösungen (Intrusion Detection Systems beziehungsweise Intrusion Prevention Systems).

Warum ist das Scannen nach Malware in Containern so wichtig?

Das Scannen nach Malware in Containern hat mehrere Vorteile:

  • Es entdeckt und isoliert Schadcode sowie verdächtige Aktivitäten in Containern, so dass dadurch Schaden abgewehrt werden kann.
  • Der Scanner überwacht und kontrolliert Aktivitäten innerhalb des Containers und nicht von außen, um so potenzielle Probleme und Gefahren schneller zu erkennen.
  • Das Scannen der Container auf Malware hat zudem einen positiven Einfluss auf die allgemeine Containersicherheit und schützt sowohl die darin untergebrachten Anwendungen als auch die gespeicherten Daten vor Cyberangriffen.

Tools zum Scannen nach Malware in Containern

Das Prüfen von Containern und den in ihnen enthaltenen Komponenten auf mögliche Sicherheitsgefahren wird auch als Container Scanning oder Container Image Scanning bezeichnet. Die dafür eingesetzten Lösungen überwachen die geschützten Container auf verdächtige Aktivitäten und erstellen passende Sicherheitsprofile.

Nachdem Sie sich zum Einsatz eines Malware-Scanners für Ihre Container entschieden haben, erfolgt im nächsten Schritt die Wahl einer geeigneten Lösung, die Ihre Bedürfnisse erfüllt. Es gibt viele dementsprechende Angebote auf dem Markt. Wählen Sie eines aus, dass Ihre Anforderungen optimal erfüllt und das mit den von Ihnen eingesetzten Betriebssystemen und Ihrer Container-Umgebung kompatibel ist. Im Folgenden finden Sie eine Auswahl verfügbarer Lösungen.

Anchore

Anchore ist eine Sicherheitslösung für Container, die sich in Kubernetes, Docker und OpenShift integrieren lässt, um damit Sicherheitsscan zu automatisieren. Zu den Kernfunktionen gehören:

  • die mögliche Integration mit CI/CD-Tools (Continuous Integration, Continuous Delivery) wie zum Beispiel Jenkins und GitLab CI/CD;
  • Anchore unterstützt darüber hinaus nicht nur Schwachstellenanalysen, sondern verfügt auch über Managementfähigkeiten und
  • arbeitet mit Container-Registries wie Docker Hub und Quay zusammen.

Clair

Clair ist ein Tool zum Scannen nach Malware mit statischen Analysen, das Schwachstellen in Container-Images aufspüren kann. Es ist auf GitHub erhältlich und Open-Source. Clair gewährt Einblicke in den Sicherheitsstatus von Containerumgebungen. Außerdem kann die Lösung Images noch vor dem Deployment scannen, um Sicherheitslücken und Probleme frühzeitig zu entdecken.

Clair scannt Images auf Sicherheitsrisiken und kann dabei auch potenzielle Schwachstellen entdecken, die später zu Angriffen führen, mit denen sich Hacker erweiterte Berechtigungen verschaffen. Darüber hinaus entdeckt das Sicherheits-Tool unsichere Konfigurationen wie zum Beispiel offene Ports ohne dazu passende Firewall-Regel.

Dagda

Bei Dagda handelt es sich um ein Tool, das den Sicherheitsstatus eines Containers prüft. Dazu unterstützt Dagda statische Analysen, um bekannte Bedrohungen wie Malware, Viren und Trojaner in Docker-Images und -Containern aufzuspüren. Außerdem kann das Programm genutzt werden, um ausführliche Reports zur Anwendungssicherheit zu erstellen.

Falco

Falco ist ein Sicherheits-Tool, das ungewöhnliches Verhalten in Kubernetes-Hosts und -Containern aufdeckt. Dazu scannt das Programm die Container auf Schwachstellen, prüft sie auf potenzielle Gefahren und stellt sicher, dass sie auf dem aktuellen Stand sind. Falco identifiziert Risiken in Echtzeit, indem es das Verhalten von Anwendungen und Containern analysiert. Anschließend informiert das Tool die zuständigen IT-Mitarbeiter über die erkannten Gefahren.

Aqua

Das Cloud-basierte Container-Sicherheits-Tool Aqua nutzt Techniken aus dem Bereich Maschinelles Lernen (ML), um Container zu scannen, potenzielle Bedrohungen zu erkennen und um die IT-Abteilung die informieren. Zu den wichtigsten Funktionen von Aqua gehören:

  • Das Scannen der Container-Images auf Schwachstellen und bekannte sowie unbekannte Bedrohungen,
  • die Integration mit beliebten CI/CD-Tools wie Jenkins und GitLab,
  • Einblicke in die potenziellen Risiken von Containern, um der IT ihre Arbeit zu erleichtern sowie
  • automatisierte Bereinigung von vorhandenen Containern mit bekannten Schwachstellen.

Eine Software zum Malware-Scan in Containern einführen

Sie sollten ein paar AspektePunkte bedenken, wenn Sie jetzt auf der Suche nach einem Tool für Malware-Scans in Containern sind. Erstens sollten Sie sicherstellen, dass die ausgewählte Software kompatibel mit den Containern ist, die Sie in Ihrer Umgebung nutzen. Zweitens sollten Sie sich nur für eine Lösung entscheiden, die über gute Erkennungsraten verfügt, die zudem von unabhängiger Seite bestätigt wurden.

Nachdem Sie eine Lösung ausgewählt haben, können Sie sie in Ihre Umgebung integrieren. Dazu ist es meist erforderlich, sie auf den Hosts zu installieren und dann so zu konfigurieren, dass sie Ihre Container scannen und darin versteckte Malware erkennen kann.

Erfahren Sie mehr über Containervirtualisierung

ComputerWeekly.de
Close