Suchen

Red Hat gibt Praxistipps zu Container-Infrastrukturen So werden Container sicher

Autor / Redakteur: lic.rer.publ. Ariane Rüdiger / Ulrike Ostler

Container-Infrastrukturen verbreiten sich rasant. Doch sie haben auch noch Schwachstellen. Eine davon ist die Sicherheit. Red Hat hat dazu einen Leitfaden erstellt.

Firmen zum Thema

Auch bei IT-Containern sollten sicher sein. Red Hat sagt wie.
Auch bei IT-Containern sollten sicher sein. Red Hat sagt wie.
(Bild: gemeinfrei - distel2610/Pixabay / CC0 )

Immer häufiger werden Container-Infrastrukturen eingesetzt: Sie sind agil, flexibel und fordern wenig Platz auf der Infrastruktur. Bei einer aktuellen Trendstudie von Solarwinds etwa lag die Containertechnologie auf Platz 5 der von den Befragten genannten Investitionsschwerpunkte. Und bei der aktuellen OpenStack-Nutzerumfrage (siehe unten) ergab sich, dass immer mehr Provider Bare-Metal-Infrastrukturen mit Kubernetes-Basis implementieren. Kubernetes ist die derzeit am häufigsten genutzte Managementumgebung für Container.

Doch weil die Containertechnologie in der breiten Anwendung noch relativ neu ist, erfordert sie auch neue Mechanismen und Konzepte, zum Beispiel hinsichtlich der Sicherheit. Red Hat, jüngst von IBM aufgekauft, hat sich Gedanken darum gemacht, wie man Container sicherer machen kann und diese Ideen in einem Leitfaden zusammengefasst. Formuliert hat ihn Lars Herrmann, General Manager, Workload Strategy for Cloud Platforms. Red Hat ist der Anbieter der Red hat Open Shift Containerplattform. Die wichtigsten Tipps in Kürze:

1. Vorzugsweise neuere Container-Images nur aus vertrauenswürdigen Quellen einsetzen.

Bei selbst entwickelten Container-Images ist das einfach – bei externen Quellen für Container-Images dagegen ein Glücksspiel. Deshalb sollten die Verantwortlichen sorgfältig prüfen, woher alle genutzten Bausteine und Libraries kommen:

  • Ist die Quelle vertrauenswürdig?
  • Ist sie schon mal unangenehm aufgefallen?
  • Wird sie gar in einschlägigen Verzeichnissen erwähnt?

Red Hat beispielsweise bietet einen Container Health Index an, der die Angebote von Softwareherstellern bewertet - unter anderem gemessen an ihrem Alter und den Auswirkungen der in einem Container verwendeten Sicherheits-Patches. Das Alter spielt eine wichtige Rolle, da ältere Images oft unsicherer sind, weil Sicherheitspatches häufig nur unregelmäßig eingespielt werden. Hier empfiehlt sich der Griff zu neueren Images.

2. Container nach dem Multi-Tenant-Modell voneinander isolieren.

Die Container sollten auf dem Host nach dem Multi-Tenant-Prinzip so voneinander getrennt werden, dass sie nicht auf die Ressourcen anderer Container zugreifen können. Auch die Ressourcen des Hosts selbst sind einem Container bei Multi-Tenant-Implementierung nicht zugänglich. Um die Multi-Tenant-Isolierung zu realisieren, gibt es in Linux grundlegende Sicherheitstechnologien. Beispiele sind Container-Runtime-Mechanismen wie Seccomp, Namespaces oder SELinux.

3. Eine Rollen- und Rechteverwaltung auf Ebene der Container-Plattform einrichten.

Von Anfang an sollte eine in die Containermanagement-Lösung eingebettete Rollen- und Rechteverwaltung eingerichtet werden. Hier definiert ein Administrator erstens, welche Rollen welche Aktivitäten mit einem Container durchführen dürfen und legt zweitens fest, welche Aktionen ein Container ausführen darf.

Normalerweise gibt es spezielle Rollen für Entwickler, Architekten oder Applikationsverantwortliche – Personen, die nicht eine dieser Aufgaben erfüllen, haben dann keinen Zugriff. Zusätzlich sind auch andere Verfahren möglich. Beispiele sind die Authentifizierung mittels einer im Unternehmen bereits vorhandenen LDAP-Lösung, die Isolierung von Entwicklungs-, Test- und Produktivumgebungen und die Netzwerksegmentierung.

4. Sicherheit von Anfang an und von Ende zu Ende.

Erstellen Entwickler Container-Applikationen, müssen sie von Anfang an nach dem Security-by Design-Prinzip vorgehen: Applikationen dürfen mit einer hohen Wahrscheinlichkeit keine Sicherheitsschwachstellen aufweisen. Container-spezifische Verfahren, und ergänzend Security-Tools ermöglichen eine hohe Container-Sicherheit – aber nur, wenn die Sicherheit von Anfang an und von Ende zu Ende implementiert wird. Dazu gehört eine Überwachung des Informationsflusses auf allen drei Ebenen einer Container-Umgebung: Container-Images, Container-Hosts und Container-Plattform. 

(ID:45668128)

Über den Autor

lic.rer.publ. Ariane Rüdiger

lic.rer.publ. Ariane Rüdiger

Freie Journalistin, Redaktionsbüro Rüdiger