Container-Laufzeitsicherheit

Container sind der Grundstein der Cloud-nativen Infrastruktur. Sie verändern die Skalierbarkeit und Geschwindigkeit grundlegend, aber ihre zunehmende Beliebtheit hat für moderne Unternehmen eine Herausforderung für die Containersicherheit geschaffen. Eine aktuelle Sicherheitslücke in AWS Elastic Container Registry (ECR) hätte es einem Bedrohungsakteur beispielsweise ermöglichen können, Schadcode in die Container-Images anderer Benutzer einzuschleusen.

Im Folgenden werfen wir einen genaueren Blick darauf, was Container-Laufzeitsicherheit ist, fünf Bedrohungen für die Laufzeit-Container-Sicherheit, die Unternehmen kennen müssen, und die wichtigsten Best Practices und Tools zur Verbesserung der gesamten Workload-Sicherheitslage.

Demo anfordern Mehr erfahren

Was ist Container Runtime Security?

Bei der Container-Laufzeitsicherheit handelt es sich um eine Reihe von Tools und Praktiken, die Container von der Instanziierung bis zur Beendigung schützen. Dabei handelt es sich um eine Teilmenge der Containersicherheit und des Workload-Schutzes , die sich mit der Sicherung aller Vorgänge mit einem Container von der Instanziierung bis zur Beendigung befasst. Beispielsweise befasst sich die Container-Laufzeitsicherheit mit dem Scannen laufender Container auf Schwachstellen, aber mit dem Scannen von Klartext-Quellcode. Das bedeutet, dass Schwachstelle-Scanner ein Beispiel für Laufzeit-Container-Sicherheitstools sind, ein SAST- Scanner jedoch nicht.

Container-Laufzeitsicherheit ist jedoch kein isoliertes Konzept. Über die Container selbst hinaus sind die Sicherung des Quellcodes, von Kubernetes (K8s) und von Infrastructure as Code (IaC) wichtige Aspekte der umfassenden Verteidigung, die den Erfolg der Bemühungen im Bereich der Laufzeitsicherheit von Unternehmenscontainern ausmachen.

Die fünf größten Sicherheitsbedrohungen für Container-Laufzeitumgebungen, die Unternehmen kennen müssen

Die fünf folgenden Sicherheitsbedrohungen für die Containerlaufzeit können ein erhebliches Risiko für Unternehmen darstellen, die Container-Workloads ausführen.

  1. Unerlaubte Containerbereitstellung: Deploy Container (T1610) aus der Liste der von Unternehmensgegnern verwendeten Techniken von MITRE ATT&CK ist ein hervorragendes Beispiel für eine Container-Sicherheitsbedrohung. Mit dieser Technik stellen Angreifer einen Container bereit – beispielsweise mithilfe der Create- und Start-Befehle von Docker –, der Sicherheitskontrollen umgeht und Exploits ermöglicht.
  2. Fehlkonfigurationen und unsichere Konfigurationen: Unsichere Konfigurationen sind eines der häufigsten Sicherheitsrisiken für Container. Beispiele für unsichere Konfigurationen sind beispielsweise ein Container, der unnötige Netzwerk-Ports offenlegt oder API-Schlüssel fest codiert.
  3. Container-Images mit Malware: Dieses Risiko besteht besonders dann, wenn Unternehmen öffentliche Container-Register verwenden. Bedrohungsakteure können Malware in Container-Images einbetten und diese dann in öffentlichen Registern veröffentlichen, damit Unternehmen sie nutzen können.
  4. Angriffe zur Rechteausweitung: Es gibt eine Vielzahl von Angriffen zur Rechteausweitung, die dazu führen können, dass ein Angreifer Root-Zugriff auf einen Container oder den zugrunde liegenden Host erhält. Diese Angriffe beginnen oft mit der Ausnutzung einer unsicheren Konfiguration oder einer bestehenden Schwachstelle.
  5. Ungepatchte Schwachstellen: Ungepatchte Schwachstellen, wie ein Fehler in der Zugriffskontrolle in einer Anwendung, bieten Bedrohungsakteuren einen einfacheren Weg, einen Container zu kompromittieren.

So finden und beheben Sie Laufzeitrisiken für die Containersicherheit

Im Einklang mit dem Konzept der Shift-Left-Sicherheit ist die Früherkennung der Schlüssel zu einer effektiven Container-Laufzeitsicherheit. Im Idealfall sollten Unternehmen Bedrohungen erkennen, bevor Container überhaupt instanziiert werden.

Allerdings ist das nicht immer praktikabel. Hier kommen Laufzeitscans und Bedrohungserkennung ins Spiel. Sobald eine Bedrohung erkannt wird, wird sie im Idealfall automatisch auf eine Weise behoben, die Fehlalarme intelligent einschränkt. In den verbleibenden Fällen sollten Sicherheitsexperten schnell alarmiert werden, um Korrekturmaßnahmen zu ergreifen.

5 Best Practices für die Sicherheit von Laufzeitcontainern

Die folgenden fünf Best Practices können Unternehmen dabei helfen, Sicherheitsrisiken für die Containerlaufzeit effektiv zu finden und zu beheben.

  1. Führen Sie nur vertrauenswürdige Container-Images aus: Nur die Ausführung vertrauenswürdiger Container-Images aus sicheren Repositorys verringert das Risiko der Instanziierung eines unsicheren Images.
  2. Implementieren Sie kontinuierliche Schwachstellen-Scans: Punkt-in-Time-Sicherheitsüberprüfungen sind nützlich, aber nicht ausreichend. Um den sich entwickelnden Bedrohungen immer einen Schritt voraus zu sein, sollten Unternehmen ihre Arbeitslasten kontinuierlich scannen, um Bedrohungen in Echtzeit zu erkennen.
  3. Führen Sie Container mit Benutzern mit geringen Berechtigungen aus: Unternehmen sollten es vermeiden, Container als Root-Benutzer oder mit dem Docker -Flag –privileged auszuführen. Im Allgemeinen sollten Container keinen Root-Zugriff auf die Hostumgebung benötigen, sodass die Verwendung von Root gegen das Prinzip der geringsten Rechte verstößt. Ebenso umgeht das Flag –privileged wichtige Sicherheitskontrollen.
  4. Aktivieren Sie keine beschreibbaren Dateisysteme: Container sollen normalerweise kurzlebig sein. Durch die Aktivierung beschreibbarer Dateisysteme besteht für Angreifer die Möglichkeit, Schadcode zu schreiben und auszuführen.
  5. Zentralisieren und automatisieren Sie die Transparenz und Durchsetzung von Richtlinien: Die manuelle Überwachung und Sicherung von Containern ist nicht skalierbar. Es ist auch anfällig für menschliches Versagen. Soweit möglich sollten Unternehmen Tools nutzen, die die Transparenz der Containersicherheit und -richtlinien zentralisieren und automatisieren.

Effektive Container-Laufzeitsicherheit erfordert einen ganzheitlichen Ansatz

Container-Laufzeitsicherheit existiert nicht im luftleeren Raum. Beispielsweise gehen IaC-Sicherheit und Container-Laufzeitsicherheit Hand in Hand. Um eine starke Sicherheitslage aufrechtzuerhalten, müssen Unternehmen ganzheitliche Lösungen implementieren, die Sicherheit über den gesamten Softwareentwicklungslebenszyklus (SDLC) integrieren. Das bedeutet, dass Tools, die unternehmensweite Transparenz und Sicherheit in der gesamten Cloud ermöglichen und Sicherheit überall dort bieten, wo Unternehmen Container ausführen, für den modernen Workload- und Laufzeitschutz von entscheidender Bedeutung sind.

Container-Laufzeitsicherheit mit CloudGuard Workload Protection

CloudGuard Workload Protection ist eine Cloud-native Workload-Sicherheitslösung. Es bietet Transparenz, Bedrohungsprävention und ermöglicht Compliance in Multi-Cloud-Umgebungen. Mit CloudGuard erhalten Unternehmen umfassende und automatisierte Sicherheit über eine zentralisierte Plattform. Zu den Vorteilen von CloudGuard Workload Protection gehören:

  • Containersicherheit: Zu den CloudGuard-Containersicherheitsfunktionen gehören umfassende Einblicke in K8s-Cluster, Container-Image-Scans, Echtzeit-Bedrohungsprävention und Richtliniendurchsetzung über einen zentralen Zulassungscontroller.
  • Serverlose Sicherheit: Serverlose Apps stellen eine neue Sicherheitsherausforderung für Unternehmen dar. CloudGuard unterstützt Unternehmen dabei, serverlose Sicherheitsrisiken durch Verhaltensschutz zu mindern, der potenziellen Missbrauch serverloser Funktionen erkennen kann.
  • Anwendungssicherheit: CloudGuard AppSec basiert auf einer zum Patent angemeldeten kontextbezogenen KI-Engine. CloudGuard ermittelt zunächst das normale Verhalten und erstellt dann Profile, um Anfragen intelligent zu bewerten und Fehlalarme zu reduzieren, ohne die Sicherheitslage des Unternehmens zu beeinträchtigen.

Wenn Sie mehr über Containersicherheit erfahren möchten, melden Sie sich noch heute für eine Demo an.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK