Red Hat gibt Praxistipps zu Container-Infrastrukturen

So werden Container sicher

| Autor / Redakteur: Ariane Rüdiger / Ulrike Ostler

Auch bei IT-Containern sollten sicher sein. Red Hat sagt wie.
Auch bei IT-Containern sollten sicher sein. Red Hat sagt wie. (Bild: gemeinfrei - distel2610/Pixabay / CC0)

Container-Infrastrukturen verbreiten sich rasant. Doch sie haben auch noch Schwachstellen. Eine davon ist die Sicherheit. Red Hat hat dazu einen Leitfaden erstellt.

Immer häufiger werden Container-Infrastrukturen eingesetzt: Sie sind agil, flexibel und fordern wenig Platz auf der Infrastruktur. Bei einer aktuellen Trendstudie von Solarwinds etwa lag die Containertechnologie auf Platz 5 der von den Befragten genannten Investitionsschwerpunkte. Und bei der aktuellen OpenStack-Nutzerumfrage (siehe unten) ergab sich, dass immer mehr Provider Bare-Metal-Infrastrukturen mit Kubernetes-Basis implementieren. Kubernetes ist die derzeit am häufigsten genutzte Managementumgebung für Container.

Doch weil die Containertechnologie in der breiten Anwendung noch relativ neu ist, erfordert sie auch neue Mechanismen und Konzepte, zum Beispiel hinsichtlich der Sicherheit. Red Hat, jüngst von IBM aufgekauft, hat sich Gedanken darum gemacht, wie man Container sicherer machen kann und diese Ideen in einem Leitfaden zusammengefasst. Formuliert hat ihn Lars Herrmann, General Manager, Workload Strategy for Cloud Platforms. Red Hat ist der Anbieter der Red hat Open Shift Containerplattform. Die wichtigsten Tipps in Kürze:

1. Vorzugsweise neuere Container-Images nur aus vertrauenswürdigen Quellen einsetzen.

Bei selbst entwickelten Container-Images ist das einfach – bei externen Quellen für Container-Images dagegen ein Glücksspiel. Deshalb sollten die Verantwortlichen sorgfältig prüfen, woher alle genutzten Bausteine und Libraries kommen:

  • Ist die Quelle vertrauenswürdig?
  • Ist sie schon mal unangenehm aufgefallen?
  • Wird sie gar in einschlägigen Verzeichnissen erwähnt?

Red Hat beispielsweise bietet einen Container Health Index an, der die Angebote von Softwareherstellern bewertet - unter anderem gemessen an ihrem Alter und den Auswirkungen der in einem Container verwendeten Sicherheits-Patches. Das Alter spielt eine wichtige Rolle, da ältere Images oft unsicherer sind, weil Sicherheitspatches häufig nur unregelmäßig eingespielt werden. Hier empfiehlt sich der Griff zu neueren Images.

2. Container nach dem Multi-Tenant-Modell voneinander isolieren.

Die Container sollten auf dem Host nach dem Multi-Tenant-Prinzip so voneinander getrennt werden, dass sie nicht auf die Ressourcen anderer Container zugreifen können. Auch die Ressourcen des Hosts selbst sind einem Container bei Multi-Tenant-Implementierung nicht zugänglich. Um die Multi-Tenant-Isolierung zu realisieren, gibt es in Linux grundlegende Sicherheitstechnologien. Beispiele sind Container-Runtime-Mechanismen wie Seccomp, Namespaces oder SELinux.

3. Eine Rollen- und Rechteverwaltung auf Ebene der Container-Plattform einrichten.

Von Anfang an sollte eine in die Containermanagement-Lösung eingebettete Rollen- und Rechteverwaltung eingerichtet werden. Hier definiert ein Administrator erstens, welche Rollen welche Aktivitäten mit einem Container durchführen dürfen und legt zweitens fest, welche Aktionen ein Container ausführen darf.

Normalerweise gibt es spezielle Rollen für Entwickler, Architekten oder Applikationsverantwortliche – Personen, die nicht eine dieser Aufgaben erfüllen, haben dann keinen Zugriff. Zusätzlich sind auch andere Verfahren möglich. Beispiele sind die Authentifizierung mittels einer im Unternehmen bereits vorhandenen LDAP-Lösung, die Isolierung von Entwicklungs-, Test- und Produktivumgebungen und die Netzwerksegmentierung.

4. Sicherheit von Anfang an und von Ende zu Ende.

Erstellen Entwickler Container-Applikationen, müssen sie von Anfang an nach dem Security-by Design-Prinzip vorgehen: Applikationen dürfen mit einer hohen Wahrscheinlichkeit keine Sicherheitsschwachstellen aufweisen. Container-spezifische Verfahren, und ergänzend Security-Tools ermöglichen eine hohe Container-Sicherheit – aber nur, wenn die Sicherheit von Anfang an und von Ende zu Ende implementiert wird. Dazu gehört eine Überwachung des Informationsflusses auf allen drei Ebenen einer Container-Umgebung: Container-Images, Container-Hosts und Container-Plattform. 

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45668128 / Virtualisierung)