Viele Unternehmen haben ihre Systeme virtualisiert und bemerken, dass virtuelle Maschinen aufgrund ihrer hohen Ressourcenanforderungen schwer zu skalieren sind. VMs benötigen viel Systemspeicher und enthalten jeweils ein vollständiges Betriebssystem, sodass in einer virtuellen Umgebung viele Betriebssysteminstanzen benötigt werden. Nachfolgend stellen wir Ihnen die Container-Technologie vor und führen die Herausforderungen, sowie die Lösungsansätze gemäss Grundschutz des BSI’s aus.

Container-Technologien: Was ist der Vorteil?

RJE. Container sind im Vergleich zu VMs schlanker, lassen sich schneller starten und sind einfacher zu skalieren. Dies, da Container kein eigenes Betriebssystem benötigen und die Anwendung inkl. Bibliotheken, Konfigurationsdateien in einem handlichen Gesamtpaket laufen. Im Vergleich mit VMs werden weniger Speicher und Betriebssysteminstanzen benötigt, um den gleichen Workload abzudecken.

Mit der Verbreitung von agilen Organisationen und Projekten werden Container-Technologien immer populärer, da zum Beispiel ein Update über eine Continuous Delivery Pipeline sehr schneller veröffentlicht werden kann. So betreibt zum Beispiel die SBB rund 2500 Container und führen täglich 18’000 Deployments aus.

Container-Technologien: Wo liegen die grössten Herausforderungen?

  • Nur wenige Unternehmen setzen auf den lange prophezeiten kollaborativen DevSecOps Ansatz. Die meisten Webentwicklungen werden immer noch ohne Einbezug der Operations oder Security gestartet, sodass eine unsichere Schatten-IT mit unzähligen nicht ausreichend geschützten Zugängen entstehen könnten. Developer haben den Auftrag ihre Applikationen immer schneller und kostengünstiger zu publizieren, sodass es in klassischen Strukturen für die Security/Compliances schwieriger wird, dem Continous Delivery nachzukommen.
  • Wenn eine Anwendung auf einer virtuellen Maschine läuft, wird der Host-Computer unter einer Abstraktionsschicht verborgen und so vor Hackerangriffen und Malware geschützt. Bei der Containertechnologie besteht die Gefahr, da das Host-Betriebssystem eines Servers den Gefahren des Internets ausgesetzt ist, da die Container den Kernel des Host-Betriebssystems mitbenutzen.Zudem wird es schwerer, mehrere Container, die auf demselben Host-System ablaufen, zuverlässig voneinander zu isolieren. Es müssen viele Ports geöffnet werden, was intransparent werden kann.
  • Vielmals eingesetzte Container-Repositorys sind vielmals zu wenig geschützt und können schwer kontrolliert werden. So wurde im April 2019 der Docker Hub des grössten Online-Dienst für Container-Management gehackt und 190’000 Nutzerkontendaten wurden entwendet. 2018 wurde bei Tesla aufgrund eines Konfigurationsfehlers die Kubernetes Verwaltungsinterface nicht ausreichend gesichert. Images können dadurch sehr einfach mit Malware infiltriert werden oder es kann ein Zugriff auf den API-Server verschafft werden etc.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher im Grundschutz-Kompendium den Baustein SYS. 1.6 [Bu] veröffentlicht und zählt folgende Gefährdungen für die Container-Virtualisierung auf:

  • Schwachstellen in Images
  • Administrative Zugänge ohne Absicherung
  • Tool-basierte Orchestrierung ohne Absicherung • Datenverluste durch fehlende Persistenz
  • Vertraulichkeitsverlust von Zugangsdaten.

Wie kann der Grundschutz gemäss BSI erhöht und Angriffspunkte eliminiert werden?

Mögliche Lösungen um, die vom BSI erkannten Schwachstellen der Containertechnologien, eliminieren zu können:

  • Falls noch nicht bekannt ist, welche Applikationen aus öffentlichen Clouds bezogen/veröffentlicht werden, können zum Beispiel mit Hilfe eines Cloud Security Brokers eine Schatten-IT’s sehr schnell greifbar gemacht werden. Erkennbar wird auch, ob eine Multicloud Umgebung besteht, wodurch die Komplexität und Orchestrationsaufwände und dadurch die Risiken nochmals steigen. Eine weitere Analyse-Appliance zeigt auf, wie Dienste intern und extern kommunizieren, welche Dienste gefährdet sind und welche Sicherheitsprobleme bestehen.
  • Bestehende fortschrittliche Bedrohungsabwehr-Appliance können mit weiteren Blades erweitert werden, um die Kubernetes-Umgebungen und Container ebenfalls mit Intrusion Prevention Service (IPS), Anti-Virus, Anti Bot etc. geschützt sind. Dies neben Hosts, Netzwerke und Anwendungen auch VMs, Container, serverlose Funktionen, Service-Meshes zu schützen. Diese bietet eine End-to-End-Sicherheit für Unternehmen, die ihre Container zum Beispiel in Azure, AWS, Google etc. oder mit Kubernets skalieren möchten.
  • Die administrativen Zugänge und Zugangsdaten bzw. Secrets Management für Applikationen, Tools, Container und DevOps können sicher in einem Vault verwaltet und aktualisiert werden.

Alle beschriebenen Lösungen können meist als Appliance oder auf einer virtuellen Umgebung, aus der Cloud oder als individuelle Services bezogen werden.

Kontaktieren Sie uns für eine kostenlose Analyse, um die möglichen Gefahren einfacher und frühzeitig erkennen zu können. Mit dem optional aufzubereitenden Report wird nicht nur eine mögliche Schatten-IT transparent dargelegt, sondern es werden Schwachstellen wie alte Release-Stände etc. darstellt. Auf Wunsch können Massnahmen nach den individuellen Anforderungen aus dem oben erwähnten Katalog vorgestellt werden.

Beitrag von: Reto Jenny, Key Account Manager execure AG, reto.jenny@execure.ch