Chancen und Risiken einer Container-Architektur

Von |2019-10-31T15:59:42+01:002019/10/31|News|

Viele Unternehmen haben ihre Systeme virtualisiert und bemerken, dass virtuelle Maschinen aufgrund ihrer hohen Ressourcenanforderungen schwer zu skalieren sind. VMs benötigen viel Systemspeicher und enthalten jeweils ein vollständiges Betriebssystem, sodass in einer virtuellen Umgebung viele Betriebssysteminstanzen benötigt werden. Nachfolgend stellen wir Ihnen die Container-Technologie vor und führen die Herausforderungen, sowie die Lösungsansätze gemäss Grundschutz des BSI’s aus. Container-Technologien: Was ist der Vorteil? RJE. Container sind im Vergleich zu VMs schlanker, lassen sich schneller starten und sind einfacher zu skalieren. Dies, da Container kein eigenes Betriebssystem benötigen und die Anwendung inkl. Bibliotheken, Konfigurationsdateien in einem handlichen Gesamtpaket laufen. Im Vergleich mit VMs werden weniger Speicher und Betriebssysteminstanzen benötigt, um den gleichen Workload abzudecken. Mit der Verbreitung von agilen Organisationen und Projekten werden Container-Technologien immer populärer, da zum Beispiel ein Update über eine Continuous Delivery Pipeline sehr schneller veröffentlicht werden kann. So betreibt zum Beispiel die SBB rund 2500 Container und führen täglich 18'000 Deployments aus. Container-Technologien: Wo liegen die grössten Herausforderungen? Nur wenige Unternehmen setzen auf den lange prophezeiten kollaborativen DevSecOps Ansatz. Die meisten Webentwicklungen werden immer noch ohne Einbezug der Operations oder Security gestartet, sodass eine unsichere Schatten-IT mit unzähligen nicht ausreichend geschützten Zugängen entstehen könnten. Developer haben den Auftrag ihre Applikationen immer schneller und kostengünstiger zu publizieren, sodass es in klassischen Strukturen für die Security/Compliances schwieriger wird, dem Continous Delivery nachzukommen. Wenn eine Anwendung auf einer virtuellen Maschine läuft, wird der Host-Computer unter einer Abstraktionsschicht verborgen und so vor Hackerangriffen und Malware geschützt. Bei der Containertechnologie besteht die Gefahr, da das Host-Betriebssystem eines Servers den Gefahren des Internets ausgesetzt ist, da die Container den Kernel des Host-Betriebssystems mitbenutzen.Zudem wird es schwerer, mehrere Container, die auf demselben Host-System ablaufen, zuverlässig voneinander zu isolieren. Es müssen viele Ports geöffnet werden, was intransparent werden kann. Vielmals eingesetzte Container-Repositorys sind vielmals zu wenig geschützt und können schwer kontrolliert werden. So wurde im April 2019 der Docker Hub des grössten Online-Dienst für Container-Management gehackt und 190’000 Nutzerkontendaten wurden entwendet. 2018 wurde bei Tesla aufgrund eines Konfigurationsfehlers die Kubernetes Verwaltungsinterface nicht [...]