{"id":252941,"date":"2022-05-21T16:09:00","date_gmt":"2022-05-21T13:09:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=252941"},"modified":"2023-06-19T03:59:31","modified_gmt":"2023-06-19T00:59:31","slug":"container-sind-ueberall-wie-sichert-man-sie","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/de\/container-sind-ueberall-wie-sichert-man-sie\/","title":{"rendered":"Container sind \u00fcberall: Wie sichert man sie?"},"content":{"rendered":"\n

Container werden jeden Tag immer zahlreicher und scheinen \u00fcberall zu sein, da Unternehmen bestrebt sind, die vielen Vorteile zu nutzen, die sie bieten, wie z. B. die agile Anwendungsentwicklung und Bereitstellung<\/strong> auf allen Plattformen.<\/p>\n

Viele glauben auch, dass die Verwendung von Containern aufgrund ihrer Kurzlebigkeit dazu beitragen kann, Sicherheitsbeschr\u00e4nkungen zu minimieren. Ist das wahr oder nur ein weiterer Irrglaube?<\/p>\n

Obwohl Container keine inh\u00e4renten Unsicherheiten aufweisen, werden sie oft auf unsichere Weise bereitgestellt, was zu zahlreichen Sicherheitsherausforderungen f\u00fchrt.<\/p>\n

Sicherheitsherausforderungen beim Bereitstellen von Containern<\/h2>\n

Die schiere Anzahl, Vielseitigkeit und der kurzlebige Zustand der bereitgestellten Container sowie die Tatsache, dass Container mit anderen Entit\u00e4ten kommunizieren m\u00fcssen, f\u00fchren dazu, dass Unternehmen nicht in der Lage sind, eine angemessene Sichtbarkeit des Verkehrs zwischen den Containern zu besitzen.<\/p>\n

Aufgrund dieses Mangels an Transparenz werden Container oft vergessen, und Intrusion-Prevention-Ma\u00dfnahmen und Sicherheitskontrollen werden unwirksam, was die Angriffsfl\u00e4che und damit das gesamte Gesch\u00e4ftsrisiko erh\u00f6ht. Dar\u00fcber hinaus kann der Mangel an Transparenz zu einem Mangel an Rechenschaftspflicht f\u00fchren, da Container verschiedene Umgebungen von der Entwicklung bis zur Produktion durchlaufen.<\/p>\n

Eine weitere Sicherheitsherausforderung im Zusammenhang mit Containern ist ein schlechtes Schwachstellenmanagement. Wenn Sie beispielsweise vorhandene Images klonen, um neue Container zu erstellen, werden deren Schwachstellen ebenfalls repliziert.<\/p>\n

Dies unterstreicht die Notwendigkeit, dass Sicherheit ein integraler Bestandteil der organisatorischen Containerstrategie sein muss<\/a>. Andernfalls k\u00f6nnen Konfigurationsfehler und fehlende Patches der Grund daf\u00fcr sein, dass nicht autorisierte Images in Produktionsumgebungen bereitgestellt und ausgef\u00fchrt werden, was zu einer gr\u00f6\u00dferen Angriffsfl\u00e4che und erfolgreicheren Angriffen f\u00fchrt.<\/p>\n

Da Container schlie\u00dflich einen gemeinsam genutzten Betriebssystemkern verwenden, kann eine Kompromittierung des Host-Betriebssystemkerns durch einen Rogue-Container zu einem Verlust des Zugriffs auf alle oder einige laufende Container<\/a> auf dem Host f\u00fchren, ebenso wie m\u00f6glicherweise auf andere Hosts im Netzwerk.<\/p>\n

So sichern Sie Ihre Container<\/h2>\n

Vielleicht besteht die beste Vorgehensweise zum Sichern Ihrer containerisierten Umgebung darin, die Notwendigkeit anzuerkennen. Abgesehen von diesem grundlegenden Konzept gibt es einige gute Ratschl\u00e4ge, die Sie befolgen sollten, um Ihre Container effektiv zu sichern.<\/p>\n

Haben Sie Einblick in Ihre Container<\/h2>\n

Stellen Sie vor der Bereitstellung eines Containers sicher, dass Sie dessen Abh\u00e4ngigkeiten und deren Inhalt verstehen. Um sicherzustellen, dass Ihre Container-Images makellos sind, m\u00fcssen Sie in jeder Phase von der Entwicklung bis zur Produktion f\u00fcr Transparenz sorgen.<\/p>\n

Der Software eines Containers nicht zu vertrauen, ist ein guter Ausgangspunkt. Sie m\u00fcssen es sehr gr\u00fcndlich pr\u00fcfen, um zu verstehen, \u201ewoher sie kommen, wie sie produziert wurden und welche Quellen sie haben“, wie Dirk Hohndel, Vice President bei VMware, auf dem Open Source Leadership Summit 2019<\/a> betonte .<\/p>\n

Kurz gesagt, \u00fcberpr\u00fcfen Sie den Inhalt Ihrer Container, bevor Sie sie bereitstellen, und f\u00fchren Sie niemals einen Container mit unbekannter oder veralteter Software aus. Nur weil ein Container-Image behauptet, die neuesten und besten Programme und Bibliotheken zu enthalten, hei\u00dft das noch lange nicht, dass dies auch der Fall ist.<\/p>\n

Eine M\u00f6glichkeit, dieses Problem zu entsch\u00e4rfen, besteht darin, Anwendungen zu verwenden, die Ihnen beim Bereinigen Ihrer Container<\/a> helfen k\u00f6nnen. Obwohl ich das Rad nicht gerne neu erfinde, ist es vielleicht am besten, die Container-Images anderer Leute nicht mehr zu verwenden.<\/p>\n

Wenn Sie, genau wie Hercules, den schwierigeren Weg von Virtue gehen und anfangen, Ihre eigenen Container-Images zu erstellen, werden Sie ein viel besseres Verst\u00e4ndnis daf\u00fcr haben, was in den Containern vor sich geht, was Vorteile hat, die \u00fcber die Sicherheit hinausgehen.<\/p>\n

Kontrollieren Sie den Root-Zugriff<\/h2>\n

Die meisten Container werden standardm\u00e4\u00dfig mit Root-Zugriff erstellt. Dies ist jedoch eine fragw\u00fcrdige Praxis. Obwohl es f\u00fcr Entwickler einfacher ist, Container als Root auszuf\u00fchren, birgt der Root-Zugriff enorme Risiken.<\/p>\n

Es gibt mehrere Ans\u00e4tze, um dieses Problem zu l\u00f6sen. Eine M\u00f6glichkeit besteht darin, eine Unternehmensrichtlinie festzulegen, die besagt, dass Container niemals als Root ausgef\u00fchrt werden d\u00fcrfen. Eine alternative M\u00f6glichkeit besteht darin, das Prinzip der geringsten Privilegien anzuwenden. Sie k\u00f6nnen einen Nicht-Root-Benutzer innerhalb der Dockerfile angeben, wenn Sie ein Container-Image erstellen, um den Container als diesen bestimmten Benutzer mit dem minimal erforderlichen Systemzugriff auszuf\u00fchren.<\/p>\n

Schlie\u00dflich k\u00f6nnen Sie auch den Benutzernamensraum<\/a> verwenden, wenn Sie privilegierte Containerprozesse ausf\u00fchren, um sichere Container zu unterst\u00fctzen. Bei dieser Methode ist die UID zum Ausf\u00fchren dieser Prozesse innerhalb des Containers null (das ist die Wurzel), aber au\u00dferhalb des Containers ist die UID die unprivilegierte 1000.<\/p>\n

\u00dcberpr\u00fcfen Sie die Laufzeit des Containers<\/h2>\n

Der SP 800-190 \u201e Application Container Security Guide<\/a> “ des National Institute of Standards and Technology (NIST) weist darauf hin, dass Containerlaufzeiten ebenfalls anf\u00e4llig f\u00fcr Angriffe sind. Obwohl dies keine h\u00e4ufige Sicherheitsl\u00fccke ist, weist NIST darauf hin, dass Sicherheitsl\u00fccken in der Containerlaufzeit \u201e besonders gef\u00e4hrlich<\/strong> “ sein k\u00f6nnen, wenn sie Szenarien zulassen, in denen b\u00f6sartige Software Ressourcen in anderen Containern und das Host-Betriebssystem selbst angreifen kann.<\/p>\n

Ein Angreifer kann auch Schwachstellen ausnutzen, um die Laufzeitsoftware selbst zu kompromittieren, und diese Software dann so \u00e4ndern, dass sie dem Angreifer den Zugriff auf andere Container erm\u00f6glicht, die Kommunikation von Container zu Container \u00fcberwacht usw.<\/p>\n

Sicherheitsprobleme treten weitaus h\u00e4ufiger bei Laufzeitkonfigurationen auf. Containerlaufzeiten stellen normalerweise viele konfigurierbare Optionen bereit. Eine unsachgem\u00e4\u00dfe Einstellung kann die relative Sicherheit des Systems verringern.<\/p>\n

Auf Linux-Container-Hosts ist beispielsweise<\/strong> der Satz zul\u00e4ssiger Systemaufrufe standardm\u00e4\u00dfig nur auf diejenigen beschr\u00e4nkt, die f\u00fcr den sicheren Betrieb von Containern erforderlich sind. Wenn diese Liste erweitert wird, k\u00f6nnen Container und das Host-Betriebssystem einem erh\u00f6hten Risiko durch einen kompromittierten Container ausgesetzt werden.<\/p>\n

Wenn ein Container im privilegierten Modus ausgef\u00fchrt wird, hat er auf \u00e4hnliche Weise Zugriff auf alle Ger\u00e4te auf dem Host, sodass er im Wesentlichen als Teil des Host-Betriebssystems fungieren und alle anderen darauf ausgef\u00fchrten Container beeinflussen kann.<\/p>\n

Ein weiteres Beispiel f\u00fcr eine unsichere Laufzeitkonfiguration besteht darin, Containern zu erlauben, vertrauliche Verzeichnisse auf dem Host bereitzustellen. Wenn ein kompromittierter Container \u00c4nderungen an diesen Pfaden vornehmen kann, k\u00f6nnte er verwendet werden, um Berechtigungen zu erh\u00f6hen und den Host selbst sowie andere Container anzugreifen, die auf dem Host ausgef\u00fchrt werden.<\/p>\n

H\u00e4rten Sie das Betriebssystem<\/h2>\n

NIST empfiehlt au\u00dferdem , ein containerspezifisches Betriebssystem auszuf\u00fchren,<\/a> da die Bedrohungen normalerweise minimaler sind, da die Betriebssysteme speziell f\u00fcr das Hosten von Containern entwickelt wurden und andere Dienste und Funktionen deaktiviert sind.<\/p>\n

Da diese optimierten Betriebssysteme au\u00dferdem speziell f\u00fcr das Hosten von Containern entwickelt wurden, verf\u00fcgen sie in der Regel \u00fcber schreibgesch\u00fctzte Dateisysteme und verwenden standardm\u00e4\u00dfig andere H\u00e4rtungspraktiken. Wann immer m\u00f6glich, sollten Unternehmen diese minimalistischen Betriebssysteme verwenden, um ihre Angriffsfl\u00e4chen zu reduzieren und die typischen Risiken und H\u00e4rtungsaktivit\u00e4ten zu mindern, die mit Allzweck-Betriebssystemen verbunden sind.<\/p>\n

Organisationen, die kein containerspezifisches Betriebssystem verwenden k\u00f6nnen, sollten die Anleitung in NIST SP 800-123, Guide to General Server Security<\/a> befolgen, um die Angriffsfl\u00e4che ihrer Hosts so weit wie m\u00f6glich zu reduzieren.<\/p>\n

Beispielsweise<\/strong> sollten Hosts, die Container ausf\u00fchren, nur Container ausf\u00fchren und keine anderen Apps, wie einen Webserver oder eine Datenbank, au\u00dferhalb von Containern ausf\u00fchren. Das Host-Betriebssystem sollte keine unn\u00f6tigen Systemdienste ausf\u00fchren, wie z. B. einen Druckspooler, der seine Angriffsfl\u00e4che vergr\u00f6\u00dfert.<\/p>\n

Schlie\u00dflich sollten Hosts kontinuierlich auf Schwachstellen gescannt und Updates schnell angewendet werden, nicht nur f\u00fcr die Container-Laufzeit, sondern auch f\u00fcr untergeordnete Komponenten wie den Kernel, auf den Container f\u00fcr einen sicheren, unterteilten Betrieb angewiesen sind.<\/p>\n

Containersicherheit hat h\u00f6chste Priorit\u00e4t<\/h2>\n

Da immer mehr Unternehmen Container einf\u00fchren und bereitstellen, wird ihre Sicherheit zu einer obersten Gesch\u00e4ftspriorit\u00e4t. Laut einer k\u00fcrzlich durchgef\u00fchrten Umfrage<\/a> haben 94 %<\/strong> der Befragten einen Sicherheitsvorfall in ihren Containerumgebungen erlebt. Dies unterstreicht nur, wie wichtig es ist, Containersicherheitsrechte zu erlangen, um Ihr Unternehmen und Ihre Kunden zu sch\u00fctzen.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Container werden jeden Tag immer zahlreicher und scheinen \u00fcberall zu sein, da Unternehmen bestrebt sind, die vielen Vorteile zu nutzen, die sie bieten, wie z. B. die agile Anwendungsentwicklung und Bereitstellung auf allen Plattformen.<\/p>\n","protected":false},"author":1,"featured_media":243869,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8595,8483,8442],"tags":[],"class_list":["post-252941","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allerlei","category-vpn-privacy","category-vpn-voor-computers"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/de\/wp-json\/wp\/v2\/posts\/252941","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/de\/wp-json\/wp\/v2\/comments?post=252941"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/de\/wp-json\/wp\/v2\/posts\/252941\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/de\/wp-json\/wp\/v2\/media\/243869"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/de\/wp-json\/wp\/v2\/media?parent=252941"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/de\/wp-json\/wp\/v2\/categories?post=252941"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/de\/wp-json\/wp\/v2\/tags?post=252941"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}