Wenn es um Container-Sicherheit geht, reicht zur Wahrung der Docker-Sicherheit Docker Bench allein unter Umständen nicht aus. Um das Risiko kompromittierter Container zu senken, empfiehlt es sich, zusätzlich aktive Scanner für Container-Schwachstellen wie Docker Scan (Snyk), Grype, Trivy und DockerSlim einzusetzen. Mit diesen Scannern können Sie Probleme mit Containern erkennen, wie etwa veraltete Abhängigkeiten, die von Angreifern ausgenutzt werden könnten.
Container sind eine perfekte Option für die Cloud-native Ära. Unternehmen, die die Vorteile sowie die Geschwindigkeit und Agilität der Cloud nutzen wollen, müssen Container einsetzen – wobei Kubernetes und Docker sich als Standard etabliert haben. Oft ist zu hören, dass containerisierte Anwendungen und Services an sich bereits Sicherheitsvorteile bieten. Allerdings eröffnen Container auch neue Zugänge für Angreifer und – was häufig übersehen wird – Container erfordern außerdem spezifische Expertise etwa in puncto Cloud Security, um Sicherheitslücken schließen und die Container optimal ausführen zu können. In diesem Blogbeitrag wird dies am Beispiel von Docker und Cloud-Umgebungen wie AWS erörtert.
Unternehmen, die Container nutzen, beginnen am besten mit Docker Bench for Security, um den Docker-Host besser abzusichern. Docker Bench for Security ist ein Skript, das eine Produktionsumgebung nach Dutzenden von gängigen Best Practices für die Bereitstellung von Docker-Containern überprüft. Alle Tests sind automatisiert und basieren auf dem CIS (Center for Internet Security) Docker Benchmark. Der Test scannt den Docker-Host auf gängige Konfigurationsprobleme, wie unsichere Einstellungen in Konfigurationsdateien und Systemrechten sowie fragwürdige Standardeinstellungen. Das Tool greift auf eine CVE-Datenbank mit häufigen Schwachstellen und Risiken zurück, um die Bibliotheken und ausführbaren Programme in dem jeweiligen System zu prüfen. Der Scan liefert einen Score für die Sicherheit des Docker-Hosts. Administratoren können anhand dieses Scores die Konfiguration des Hosts verfolgen und laufend verbessern. So werden beispielsweise nicht genutzte Images und Container entfernt, regelmäßig Updates für Docker durchgeführt oder Volume Mounts eingesetzt, um separate Partitionen zu erstellen (ähnlich wie bei der Mikrosegmentierung).
Die Host-Sicherheit ist nur die eine Seite der Medaille. Docker Bench ist kein umfassender Test. Es gibt noch weitere Aspekte der Docker-Sicherheit, die nicht übersehen werden sollten. Selbst die stärkste Sicherheit auf Host-Ebene ist keine Garantie, dass kompromittierte Container nicht von Angreifern genutzt werden, um in die IT-Systeme von Unternehmen einzudringen. Dieses Risiko lässt sich reduzieren, wenn zusätzlich aktive Container-Schwachstellenscanner wie Docker Scan (Snyk), Grype, Trivy und Clair eingesetzt werden. Die Schwachstellenscans helfen, Sicherheitslücken und bestehende Probleme in Containern zu identifizieren, wie veraltete Abhängigkeiten, die zu potenziellen Bedrohungen werden können. Schauen wir uns diese nützlichen Tools einmal genauer an.
Durch die Bewertung von bekannten Sicherheitslücken und Scans auf Schwachstellen für lokale Docker-Images können Entwickler und deren Teams den Sicherheitsstand der Container-Images überprüfen und Maßnahmen zur Behebung von Problemen ergreifen, die während des Schwachstellenscans erkannt wurden. Dies erhöht die Sicherheit von Implementierungen. Docker Scan läuft auf der Snyk-Engine und liefert Benutzern Einblicke in die Sicherheit ihrer lokalen Docker-Dateien und lokalen Images. Snyk bietet umfassende Funktionen für Aufgaben rund um die Container-Sicherheit, unter anderem eine Echtzeit-Schwachstellenüberwachung. Snyk nutzt Machine-Learning-Algorithmen, um Docker-Images und deren Abhängigkeiten zu scannen und Sicherheitslücken zu erkennen. Anhand der Ergebnisse wird eine priorisierte Liste von Empfehlungen zur Abhilfe erstellt. Lesen Sie hier mehr über Docker Scan mit der Snyk-Engine.
-data.png "Develop")
-data.png "Distribute")
Quelle: CNCF Cloud Native Security Whitepaper
Für die nächste Stufe der Absicherung von Container-Images können Sie Grype einsetzen. Grype ist ein Schwachstellenscanner für Container-Images und Dateisysteme. Grype arbeitet mit Syft, dem leistungsfähigen SBOM-Tool (Software Bill of Materials) für Container-Images und Dateisysteme. Grype ist derzeit nur für macOS und Linux verfügbar. Grype geht einen wichtigen Aspekt der Container-Sicherheit an: Images müssen regelmäßig neu erstellt werden, um sicherzustellen, dass sie die neuesten Pakete und Patches enthalten. Daher müssen Verfahren zur Stärkung der Sicherheit in CI/CD-Pipelines integriert werden. Grype funktioniert ähnlich wie Snyk. Zunächst scannt es das Docker-Image, um den Status von Paketen und Patches zu bestimmen. Anhand der Ergebnisse wird ein neues Image mit zusätzlichen Sicherheitsvorkehrungen erstellt. Die neue Version kann dann als Basis für die jeweilige Anwendung verwendet werden. Erfahren Sie mehr darüber, wie Sie Grype installieren.
Jeder Scanner hat seine eigenen Stärken und Schwächen. So weisen Snyk und Grype zwar viele Vorteile auf, doch Git-Repositories decken sie nicht ab. Deshalb ist Trivy die perfekte Ergänzung zur Absicherung von Schwachstellen in Docker-Containern. Es ist ein einfacher und umfassender Scanner für Sicherheitslücken in Container-Images, wie zum Beispiel Dateisysteme, eignet sich aber auch für Git-Repositories und Konfigurationsprobleme. Trivy erkennt Schwachstellen in Betriebssystem- und sprachspezifischen Paketen. Erfahren Sie mehr darüber, wie Sie Trivy installieren.
DockerSlim ist ein Tool, das einen Befehlssatz bereitstellt, mit dem sich das Entwicklererlebnis im Zusammenhang mit Containern vereinfachen und optimieren lässt. Mit ihm werden Container besser, kleiner und sicherer. DockerSlim optimiert Docker-Container, indem es die Anwendung und ihre Anforderungen mithilfe verschiedener Analyseverfahren versteht. DockerSlim entfernt Inhalte, die die Anwendung nicht wirklich benötigt. Dies reduziert die Angriffsfläche des jeweiligen Containers. Container wachsen häufig mit der Zeit – oft sind Entwickler erstaunt, wie groß ihre Container geworden sind. Aufgeblähte Container-Images können die Performance von Anwendungen oder Netzwerk beeinträchtigen und außerdem unnötige Sicherheitsrisiken mit sich bringen. Mit dem xray-Befehl von DockerSlim werden Details über die Größe eines Pakets erhoben. Der Befehl führt eine statische Analyse des jeweiligen Container-Images durch und nimmt dann ein Reverse-Engineering der Docker-Datei des Images vor, um festzustellen, was sich in dem Container-Image befindet und warum es so groß ist. Erfahren Sie mehr darüber, wie Sie DockerSlim installieren.
Auf jeden Fall! Container bieten enorme Vorteile und spielen eine wichtige Rolle für eine zukunftssichere Aufstellung der Unternehmens-IT. Daher ist die Container-Sicherheit extrem wichtig. Wenn Sie die Vorteile der Technologie nutzen wollen, sollten Sie die entsprechenden Sicherheitsmaßnahmen implementieren. Und das beginnt mit Transparenz. Die gute Nachricht dabei: Es gibt viele Tools zum Scannen und Beheben von Container-Schwachstellen, und die meisten davon sind öffentlich verfügbar. Wenn Sie bezüglich des Status Ihrer Container und Sicherheitslücken unsicher sind, nehmen Sie sich die Zeit für eine Überprüfung oder wenden Sie sich an einen erfahrenen Container-Berater.
T-Systems ist ein Experte für Container und ein erfahrener Cloud-Services-Partner. Sie können sich bei der Handhabung Ihrer Container-Sicherheit voll auf T-Systems verlassen. Dies ist besonders vorteilhaft für Teams, die sich primär mit Entwicklung und der Abstimmung mit den geschäftlichen Zielen befassen wollen. T-Systems bietet direkt einsetzbare Services für Bewertungen und laufende Managed Services. Für die Container-Nutzung auf AWS kann insbesondere eine von T-Systems durchgeführte Well-Architected Review für Elastic Kubernetes Service von Vorteil sein. Innerhalb von zwei Wochen ermitteln wir Lücken in Ihrer Container-Umgebung in AWS und legen Vorschläge zu deren Behebung vor. Und wenn Sie Ihr Container-Management gänzlich auslagern wollen, können wir diese Aufgabe mit unseren Managed Cloud Container Services übernehmen. Wir können Ihre Container gemäß aktuellen Best Practices optimieren.
