Scannen der Container-Sicherheit

Containerisierte Anwendungen erfreuen sich aufgrund ihrer Modularität und Portabilität zunehmender Beliebtheit. Durch die Bereitstellung von Anwendungen in Containern können Entwickler sie auf einer größeren Anzahl von Maschinen hosten, ohne sich Gedanken über die Kompatibilität machen zu müssen.

Das Aufkommen der Containerisierung führt jedoch auch zu Bedenken hinsichtlich der Containersicherheit , z. B. zu potenziellen Problemen mit der Sicherheit von Docker-Containern. Container können Schwachstellen enthalten, die gefunden und behoben werden müssen, bevor sie von einem Angreifer ausgenutzt werden können. Beim Container-Scanning handelt es sich um den Prozess der Überprüfung dieser eigenständigen Programmierumgebungen auf Schwachstellen.

Mehr erfahren Demo anfordern

Wie funktioniert das Scannen von Containern?

 

Beim Containerscannen wird – wie bei anderen Formen des Schwachstellenscannens auch – ein automatisiertes Tool verwendet, um den Container nach bekannten Schwachstellen zu durchsuchen. Oftmals muss das Tool dabei jede Schicht des Behälters auf Schwachstellen untersuchen. Dies kann die Überprüfung auf Instanzen von Software mit bekannten Common Schwachstelle and Exposures (CVEs) oder das Testen auf gemeinsame Schwachstelle innerhalb einer Software umfassen.

Gemeinsame Container-Schwachstelle

Containerisierte Anwendungen können eine Vielzahl unterschiedlicher Schwachstellen umfassen. Zu den gebräuchlichsten Typen gehören die folgenden:

  • Anwendungsschwachstelle: Die Anwendung, die in einem Container ausgeführt wird, kann Schwachstelle enthalten. Beispielsweise kann eine Webanwendung eine SQL-Injection- oder Pufferüberlauf-Schwachstelle enthalten, die sie anfällig für Angriffe macht.
  • Unsichere Konfigurationen: Neben potenziellen Schwachstellen im Code können bei Anwendungen auch Sicherheitsprobleme durch Fehlkonfigurationen auftreten. Beispielsweise kann eine optionale Einstellung in einer Anwendung, sofern aktiviert, eine Umgehung der Zugriffskontrolle oder die Verwendung eines unsicheren Protokolls ermöglichen.
  • Netzwerkbedrohungen: Containerisierte Anwendungen können über das Netzwerk mit anderen Systemen kommunizieren. Wenn diese Netzwerkkommunikation nicht sicher konfiguriert ist, besteht die Möglichkeit, dass die containerisierte Anwendung abgehört oder ausgenutzt wird.
  • Probleme mit der Zugriffskontrolle: Wie andere Anwendungen und Systeme sollten auch in Containern enthaltene Anwendungen über Zugriffskontrollen verfügen, um den Zugriff auf die Anwendung und alle sensiblen Funktionen oder Daten zu verwalten. Zu freizügige Zugriffskontrollen könnten Datenschutzverletzungen , Malware-Infektionen oder andere Bedrohungen ermöglichen.

Schwachstellen erkennen mit Container-Scanning

Auf hoher Ebene funktioniert ein Container-Sicherheitsscanner ähnlich wie jeder andere Schwachstelle-Scanner. Dabei wird das getestete System – in diesem Fall eine containerisierte Anwendung – auf bekannte Schwachstellen untersucht.

Dazu gehört häufig die Aufzählung der auf dem System installierten Software und deren Vergleich mit CVE-Datenbanken oder der National Schwachstelle Database (NVD), um festzustellen, ob der Container Software mit bekannten Schwachstellen enthält. Darüber hinaus überprüft der Scanner möglicherweise den Container und seine Anwendung auf mögliche Konfigurationsfehler, wie etwa zu freizügige Zugriffskontrolleinstellungen.

Die Art der Container hat jedoch einen Einfluss auf die Funktionsweise ihrer Sicherheitsscanner. Container sind so konzipiert, dass Entwickler auf der Arbeit anderer aufbauen können. Ein Container beginnt in der Regel mit einem Basisimage, dem ein Entwickler zusätzliche Ebenen hinzufügt, um die gewünschte Laufzeitumgebung zu implementieren.

Diese mehrschichtige Architektur wirkt sich darauf aus, wie Sicherheitsüberprüfungen für Container durchgeführt werden. Ein Containerscanner ist in der Lage, jede Schicht einzeln zu inspizieren und nach bekannten Problemen zu suchen.

Beispielsweise kann eine containerisierte Anwendung ein Basisimage eines Drittanbieters als Grundlage verwenden. Obwohl dieses Bild qualitativ hochwertig und sicher sein kann, kann es auch bekannte Schwachstellen oder Malware enthalten. Ein Containerscanner kann diese Probleme identifizieren und möglicherweise ein alternatives, sichereres Image empfehlen, das dennoch die Anforderungen eines Entwicklers erfüllt.

Welche Arten von Container-Schwachstellen können erkannt werden?

Das Scannen von Containern kann eine Vielzahl potenzieller Probleme mit einem Container identifizieren. Einige gängige Beispiele sind die folgenden:

  • Image-Schwachstellen: Eine Container-Image-Schwachstelle ist eine Schwachstelle, bei der das Image in einen Container eingebettet ist. Ein Containerimage kann z. B. eine unsichere Bibliothek oder Abhängigkeit enthalten, die vom Basisimage verwendet wird.
  • Bösartige Bilder: Container werden häufig auf der Grundlage von Images von Drittanbietern erstellt. Ein Image aus einer nicht vertrauenswürdigen Quelle kann Malware oder Sicherheitsfehlkonfigurationen enthalten, die darauf ausgelegt sind, Container, die damit erstellt wurden, anfällig für Angriffe zu machen.
  • Zugangskontrollen: Container verfügen über integrierte Zugriffssteuerungen, um den Zugriff der Benutzer auf den Container selbst einzuschränken. Wenn diese Zugriffskontrollen falsch konfiguriert oder anfällig sind, kann ein Angreifer möglicherweise seine Berechtigungen ausweiten und den Container übernehmen.
  • Anwendungsschwachstelle: Die in einem Container installierte Anwendung kann Schwachstellen enthalten, die sie anfällig für Angriffe machen.

Containersicherheit mit Check Point

Da die Containerisierung immer weiter verbreitet wird, ist das Scannen der Containersicherheit ein wichtiger Bestandteil eines DevSecOps-Prozesses. Die einzigartige Struktur von Containern kann neue Bedrohungen mit sich bringen und unterscheidet den Prozess ihrer Sicherung von anderen, nicht-containerisierten Anwendungen.

Check Point CloudGuard Workload Protection bietet Container-Sicherheitsfunktionen, einschließlich der Möglichkeit, Container auf potenzielle Schwachstellen zu scannen. Um mehr über die Funktionen von CloudGuard Workload Protection zu erfahren und herauszufinden, wie es die Sicherheit der containerisierten Anwendung Ihres Unternehmens verbessern kann, melden Sie sich noch heute für eine kostenlose Demo an.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK