Container-Laufzeitsicherheit

Container sind der Grundstein der Cloud-nativen Infrastruktur. Sie verändern die Skalierbarkeit und Geschwindigkeit grundlegend, aber ihre zunehmende Beliebtheit hat für moderne Unternehmen eine Herausforderung für die Containersicherheit geschaffen. Eine aktuelle Sicherheitslücke in AWS Elastic Container Registry (ECR) hätte es einem Bedrohungsakteur beispielsweise ermöglichen können, Schadcode in die Container-Images anderer Benutzer einzuschleusen.

Im Folgenden werfen wir einen genaueren Blick darauf, was Container-Laufzeitsicherheit ist, fünf Bedrohungen für die Laufzeit-Container-Sicherheit, die Unternehmen kennen müssen, und die wichtigsten Best Practices und Tools zur Verbesserung der gesamten Workload-Sicherheitslage.

Demo anfordern Mehr erfahren

Was ist Container Runtime Security?

Bei der Container-Laufzeitsicherheit handelt es sich um eine Reihe von Tools und Praktiken, die Container von der Instanziierung bis zur Beendigung schützen. Dabei handelt es sich um eine Teilmenge der Containersicherheit und des Workload-Schutzes , die sich mit der Sicherung aller Vorgänge mit einem Container von der Instanziierung bis zur Beendigung befasst. Beispielsweise befasst sich die Container-Laufzeitsicherheit mit dem Scannen laufender Container auf Schwachstellen, aber mit dem Scannen von Klartext-Quellcode. Das bedeutet, dass Schwachstelle-Scanner ein Beispiel für Laufzeit-Container-Sicherheitstools sind, ein SAST- Scanner jedoch nicht.

Container-Laufzeitsicherheit ist jedoch kein isoliertes Konzept. Über die Container selbst hinaus sind die Sicherung des Quellcodes, von Kubernetes (K8s) und von Infrastructure as Code (IaC) wichtige Aspekte der umfassenden Verteidigung, die den Erfolg der Bemühungen im Bereich der Laufzeitsicherheit von Unternehmenscontainern ausmachen.

Die fünf größten Sicherheitsbedrohungen für Container-Laufzeitumgebungen, die Unternehmen kennen müssen

Die fünf folgenden Sicherheitsbedrohungen für die Containerlaufzeit können ein erhebliches Risiko für Unternehmen darstellen, die Container-Workloads ausführen.

  1. Unerlaubte Containerbereitstellung: Deploy Container (T1610) aus der Liste der von Unternehmensgegnern verwendeten Techniken von MITRE ATT&CK ist ein hervorragendes Beispiel für eine Container-Sicherheitsbedrohung. Mit dieser Technik stellen Angreifer einen Container bereit – beispielsweise mithilfe der Create- und Start-Befehle von Docker –, der Sicherheitskontrollen umgeht und Exploits ermöglicht.
  2. Fehlkonfigurationen und unsichere Konfigurationen: Unsichere Konfigurationen sind eines der häufigsten Sicherheitsrisiken für Container. Beispiele für unsichere Konfigurationen sind beispielsweise ein Container, der unnötige Netzwerk-Ports offenlegt oder API-Schlüssel fest codiert.
  3. Container-Images mit Malware: Dieses Risiko besteht besonders dann, wenn Unternehmen öffentliche Container-Register verwenden. Bedrohungsakteure können Malware in Container-Images einbetten und diese dann in öffentlichen Registern veröffentlichen, damit Unternehmen sie nutzen können.
  4. Angriffe zur Rechteausweitung: Es gibt eine Vielzahl von Angriffen zur Rechteausweitung, die dazu führen können, dass ein Angreifer Root-Zugriff auf einen Container oder den zugrunde liegenden Host erhält. Diese Angriffe beginnen oft mit der Ausnutzung einer unsicheren Konfiguration oder einer bestehenden Schwachstelle.
  5. Ungepatchte Schwachstellen: Ungepatchte Schwachstellen, wie ein Fehler in der Zugriffskontrolle in einer Anwendung, bieten Bedrohungsakteuren einen einfacheren Weg, einen Container zu kompromittieren.

So finden und beheben Sie Laufzeitrisiken für die Containersicherheit

Im Einklang mit dem Konzept der Shift-Left-Sicherheit ist die Früherkennung der Schlüssel zu einer effektiven Container-Laufzeitsicherheit. Im Idealfall sollten Unternehmen Bedrohungen erkennen, bevor Container überhaupt instanziiert werden.

Allerdings ist das nicht immer praktikabel. Hier kommen Laufzeitscans und Bedrohungserkennung ins Spiel. Sobald eine Bedrohung erkannt wird, wird sie im Idealfall automatisch auf eine Weise behoben, die Fehlalarme intelligent einschränkt. In den verbleibenden Fällen sollten Sicherheitsexperten schnell alarmiert werden, um Korrekturmaßnahmen zu ergreifen.

5 Best Practices für die Sicherheit von Laufzeitcontainern

Die folgenden fünf Best Practices können Unternehmen dabei helfen, Sicherheitsrisiken für die Containerlaufzeit effektiv zu finden und zu beheben.

  1. Führen Sie nur vertrauenswürdige Container-Images aus: Nur die Ausführung vertrauenswürdiger Container-Images aus sicheren Repositorys verringert das Risiko der Instanziierung eines unsicheren Images.
  2. Implementieren Sie kontinuierliche Schwachstellen-Scans: Punkt-in-Time-Sicherheitsüberprüfungen sind nützlich, aber nicht ausreichend. Um den sich entwickelnden Bedrohungen immer einen Schritt voraus zu sein, sollten Unternehmen ihre Arbeitslasten kontinuierlich scannen, um Bedrohungen in Echtzeit zu erkennen.
  3. Führen Sie Container mit Benutzern mit geringen Berechtigungen aus: Unternehmen sollten es vermeiden, Container als Root-Benutzer oder mit dem Docker -Flag –privileged auszuführen. Im Allgemeinen sollten Container keinen Root-Zugriff auf die Hostumgebung benötigen, sodass die Verwendung von Root gegen das Prinzip der geringsten Rechte verstößt. Ebenso umgeht das Flag –privileged wichtige Sicherheitskontrollen.
  4. Aktivieren Sie keine beschreibbaren Dateisysteme: Container sollen normalerweise kurzlebig sein. Durch die Aktivierung beschreibbarer Dateisysteme besteht für Angreifer die Möglichkeit, Schadcode zu schreiben und auszuführen.
  5. Zentralisieren und automatisieren Sie die Transparenz und Durchsetzung von Richtlinien: Die manuelle Überwachung und Sicherung von Containern ist nicht skalierbar. Es ist auch anfällig für menschliches Versagen. Soweit möglich sollten Unternehmen Tools nutzen, die die Transparenz der Containersicherheit und -richtlinien zentralisieren und automatisieren.

Effektive Container-Laufzeitsicherheit erfordert einen ganzheitlichen Ansatz

Container-Laufzeitsicherheit existiert nicht im luftleeren Raum. Beispielsweise gehen IaC-Sicherheit und Container-Laufzeitsicherheit Hand in Hand. Um eine starke Sicherheitslage aufrechtzuerhalten, müssen Unternehmen ganzheitliche Lösungen implementieren, die Sicherheit über den gesamten Softwareentwicklungslebenszyklus (SDLC) integrieren. Das bedeutet, dass Tools, die unternehmensweite Transparenz und Sicherheit in der gesamten Cloud ermöglichen und Sicherheit überall dort bieten, wo Unternehmen Container ausführen, für den modernen Workload- und Laufzeitschutz von entscheidender Bedeutung sind.

Container Runtime Security with Check Point Workload Protection

Check Point Workload Protection is a cloud-native workload security solution. It provides visibility, threat prevention, and enables compliance across multi-cloud environments. With Check Point, enterprises gain comprehensive and automated security from a centralized platform. Benefits of Check Point Workload Protection include:

  • Container security: Check Point container security features include deep visibility into K8s clusters, container image scanning, real-time threat prevention, and policy enforcement via a central admissions controller.
  • Serverless security: Serverless apps create a new security challenge for enterprises. Check Point helps enterprises mitigate serverless security risks with behavioral defense that can detect potential misuse and abuse of serverless functions.
  • Application security: Check Point AppSec is powered by a patent-pending contextual AI engine. Check Point first baselines normal behavior and then creates profiles to intelligently score requests to reduce false positives without compromising enterprise security posture.

Wenn Sie mehr über Containersicherheit erfahren möchten, melden Sie sich noch heute für eine Demo an.

Loslegen

Check Point Workload Protection 

Check Point Container Security

Lösungsüberblick für Containersicherheit

Cloud-Sicherheit und Statusverwaltung

Verwandte Themen

Container as a Service (CaaS)

Probleme mit der Containersicherheit

Infrastructure-as-Code-Sicherheit (IaC)

Containerisierung

Kubernetes (K8s)-Sicherheit