Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

t3n 46

Wie die Sicherheit bei Containern gewährleistet wird: Sicherer Hafen

    Wie die Sicherheit bei Containern gewährleistet wird: Sicherer Hafen

flaticon / freepik

Docker hat vor zwei Jahren einen regelrechten Hype ausgelöst. Immer mehr Unternehmen setzen heute auf die Container-Technologie. Was Firmen genau beachten müssen, wenn sie auf diese Technologie setzen – eine Checkliste.

Moderne IT-Infrastrukturen sollen schnell, flexibel und skalierbar sein. Mit der Cloud samt Hypervisor-basierter Virtualisierung gibt es zwar auch ein Konzept, das diesen Ansprüchen genügt. Weil die Taktung der Digitalisierung aber immer weiter zunimmt, ist vielen die virtuelle Maschine (VM) oft schon zu schwerfällig. Dank Docker haben Container vor zwei Jahren jedoch ein Revival erfahren. Die Virtualisierung erreicht damit die nächste Stufe ihrer Evolution – und verändert sich rasant.

Der Docker Hub avancierte schnell zum Spielplatz für Virtualisierungstüftler und Developer, die sich mit der entstaubten Linux-Technologie austobten. Die Vorteile der virtuellen Leichtgewichte sorgten für einen Aufstieg der Container in der Entwickler-Welt. Ihre Stärken – klein und mit wenig Overhead im Gepäck – locken jetzt auch zunehmend die IT-Verantwortlichen aus der Ecke der klassischen Virtualisierung hervor. Speziell im Kontext von DevOps sowie Continuous Integration und Continuous Delivery (CI/CD) eignen sich Container und kommen deshalb auch in Unternehmen immer häufiger zum Einsatz.

Durch den neuen Zulauf auf Container müssen sich Nutzer aber auch immer mehr mit den Gefahren und Sicherheitslücken der Systeme beschäftigen. Wie jede andere Technologie müssen Container die gesetzlichen Vorgaben sowie interne Compliances und Sicherheitsstandards erfüllen.

Einen Blick unter die Image-Haube werfen

Setzen Unternehmen Container bereits innerhalb geschäftskritischer Systemumgebungen ein, ist Vorsicht geboten. Jahrelang standen Cloud und Virtualisierung wegen mangelnder Sicherheit in der Kritik. Daher sind auch Container im Business-Kontext ein sensibles Thema. Um bestimmte Sicherheitsvorkehrungen kommt man also nicht herum. Das fängt schon mit eigentlich grundsätzlichen Dingen wie dem Härten der Systeme an – also der Erhöhung der Systemsicherheit durch den Einsatz von nur für den Betrieb nötigen Systemkomponenten. Ein weiterer und sehr entscheidender Punkt auf der Security-Checkliste sind die Images. Sie bilden die wichtigsten Bausteine für Container. Problematisch ist hier der freie Zugriff auf alle zugänglichen Repositorys. Dort kann jeder Images hoch- oder herunterladen. Das hat seine Vor- und Nachteile. Zum einen gibt es dort eine große Zahl verschiedener Images, sodass sich für die unterschiedlichsten Szenarien in der Regel ein passendes Image findet. Zum anderen sorgt diese Offenheit auch dafür, dass es dort – absichtlich oder unabsichtlich – fehlerhafte Images gibt. Sie sind der einfachste Weg, sich ein Sicherheitsproblem einzufangen. Daher sollten Unternehmen genau darauf achten, welche Images sie beispielsweise über den Docker Hub beziehen. Das gilt insbesondere für solche, die nicht frei einsehbar sind. Schon kleine Schreibfehler wie „RHAEL7“ statt korrekt „RHEL7“ innerhalb des Images reichen aus, um böswilligen Angreifern eine Tür zu öffnen.

Docker hat Container wiederbelebt. Zunehmend wichtiger wird auch deshalb der Bereich Sicherheit. In seiner Version 1.10 hat Docker Anfang 2016 ein wichtiges Security-Paket auf den Markt gebracht. (Screenshot: Docker)

Gerade zu Anfang des Container-Hypes gab es auf den Repositorys keinerlei Kontrollmechanismen. Wie groß das Problem anfälliger Images ist, zeigte sich im vergangenen Jahr bei einer Stichprobe der Firma Banyan: Mehr als ein Drittel der auf dem Docker Hub eingestellten Images offenbarten Lücken für Sicherheitsrisiken. Diese Zahlen sorgten für ordentlichen Zugzwang und die Image-Anbieter haben seitdem ihr Sicherheitslevel erhöht.

Hersteller wie Red Hat gehen das Sicherheitsproblem bei Containern mit Transparenz an: Sie zeigen, wie die Images gebaut werden, und unterstützen in ihren Betriebssystemen auch Sicherheitssoftware. (Foto: Red Hat)
So brachte Docker Anfang des Jahres mit der Version 1.10 ein Paket an Sicherheitsfunktionen mit auf den Markt. Darunter unter anderem das Secure Computing, welches Nutzern mehr Kontrolle über Applikationen innerhalb der Container einräumt. Über ein Whitelisting sind auf jeweilige Anforderungen zugeschnittene Systemaufrufe filterbar. Zudem ermöglicht der Secure Computing Mode das Einrichten von Sandboxes. In dem Release weitete Docker zusätzlich die Unterstützung für User Namespaces aus, die ebenfalls mehr Kontrolle über einzelne Applikationen und Prozesse geben. Auf diese Weise sind für Nutzer granulare Sicherheits-Policys einfacher einzurichten. Insgesamt gibt es heute einen deutlich größeren Handlungsspielraum, um anderen Nutzern Rechte einzuräumen oder sie zu beschränken. Diesen sollten Unternehmen entsprechend ausnutzen, um sicherzustellen, dass nur Befugte Zugriff auf bestimmte Container erhalten.

Michael Vogeler
Michael Vogeler

ist Systemadministrator im Bereich Application and Database Services bei Nexinto. Docker hat er bereits seit den frühen Anfängen auf dem Radar. Erste Gehversuche unternahm er mit Minecraft-Servern in Docker-Containern. Sein Fokus liegt auf Orchestrierung und Skalierung von Containern. Er schätzt an ihnen den geringeren Aufwand beim Roll-out von Applikationen.

 Jan Wiescher
Jan Wiescher

ist Systemadministrator im Bereich Development and Application Services bei Nexinto. Seit einem Jahr beschäftigt er sich mit der Security von Containern und Docker. Dabei interessieren ihn neue Updates, potenzielle Sicherheitslücken und Risiken. Sein Lieblings-Tool für die Container-Bereitstellung ist Ansible. Wird es komplexer, bevorzugt er Rancher.

Links und Literatur

  1. Sicherheit bei Docker

Finde einen Job, den du liebst

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hinweis

Du hast gerade auf einen Provisions-Link geklickt und wirst in Sekunden weitergeleitet.

Bei Bestellung auf der Zielseite erhalten wir eine kleine Provision – dir entstehen keine Mehrkosten.


Weiter zum Angebot