Heute reicht selbst der vermeintlich beste Schwachstellen-Scan alleine nicht mehr aus, um Ihre ICT-Infrastruktur zuverlässig zu schützen. Ihr Scanner ist nur dann wirklich effektiv, wenn er auch mit anderen Sicherheitsprozessen zusammenarbeiten kann. Zudem muss er auch in der Cloud und beim Einsatz von Containern funktionieren. Wenn nur eine dieser Voraussetzungen fehlt, haben Sie eine Sicherheitslücke – und genau solche Lücken führen früher oder später garantiert zu Sicherheitsverletzungen. Wir zeigen Ihnen, welche Sicherheitsanforderungen Container stellen und wie Sie diese Technologie sicher nutzen können.
Container auf grosser Fahrt – auch in der IT
Der Hype um Container und den Betrieb von Workloads als Microservice ist mittlerweile auch in der Windows-Welt angekommen. Denn auch Windows Server 2016 unterstützt Container; genauso wie Linux und VMware mit vSphere. Der Vorteil liegt auf der Hand: Vor allem Microservices, aber auch andere Workloads wie Webserver, Web Apps oder andere Anwendungen, lassen sich in Containern schneller bereitstellen und skalierbar betreiben. Die Fehler bei der Bereitstellung herkömmlicher Server-Workloads sollen bei der Verwendung von Containern minimiert werden und Anwendungen lassen sich schneller bereitstellen. Darüber hinaus ist die Lösung kostengünstiger oder sogar kostenlos. Die Sicherheit darf dabei aber auf keinen Fall aus den Augen gelassen werden. Weshalb diese so wichtig ist? Wir erklären es Ihnen…
In sich geschlossen (– aber eben doch nicht ganz!)
Container teilen sich den Betriebssystem-Kern sowie andere Funktionen mit dem Container-Host und damit generell auch mit anderen Containern. Somit besteht die Gefahr, dass diese sich bei einem erfolgreichen Angriff gegenseitig kompromittieren und sogar Zugriff auf unberechtigte Bereiche des Host-Betriebssystems geben. Microsoft versucht dies im Windows Server 2016 zum Beispiel mit den Hyper-V-Containern zu umgehen, in dem jedem Container ein eigener Betriebssystem-Kernel zur Verfügung gestellt wird. Allerdings ist auch hier nicht sicher, ob ein übernommener Hyper-V-Container keine Gefahr für andere Container darstellt.
Befinden sich in einem Container Sicherheitslücken, beispielsweise durch ein veraltetes Betriebssystem, Sicherheitsschwachstellen bei integrierter Software oder vorhandener Libraries, dann wirken sich diese auf den kompletten Container aus. Und gemäss dem neusten Forrester Vulnerability Management Vendor Report 2017 sind Schwachstellen in Software-Anwendungen die führende Methode bei externen Angriffen. Wird der Container als Image definiert und werden auf Basis dieses Images weitere Container erstellt, dann wirken sich die Sicherheitslücken noch viel gravierender aus. Dies sollte bei der Bereitstellung beachtet werden.
Verschliessen Sie Ihren Container gut!
Bei der Bereitstellung spielen aber auch die Daten eine wichtige Rolle, die im Container verarbeitet werden. Ausserdem muss geplant werden, wo die Container im Netzwerk positioniert werden. Hier sind vor allem die interne und externe Firewall wichtig. Gerade bei Containern, die über das Internet erreichbar sind, spielt Sicherheit eine massgebliche Rolle, da diese besonders leicht erreichbar und damit angreifbar sind. Angriffe wie SQL Injection oder Denial-of-Service-Attacken sind auch für Container ein Problem; nicht nur für herkömmliche Serversysteme. Deshalb müssen Sicherheitslücken – in öffentlich, aber auch intern erreichbaren Systemen – zuverlässig erkannt und so schnell wie möglich behoben werden.
Zudem gibt es mittlerweile auch Angriffe auf Virtualisierungs-Hosts, beziehungsweise auf virtuelle Server, die es ermöglichen, aus einer VM heraus auf den Host und damit auf andere VMs zuzugreifen. Wird ein Container-Host virtualisiert, besteht also durchaus die Gefahr, dass sowohl die Container, als auch der Container-Host sowie der physische Virtualisierungs-Host von Angreifern übernommen werden können. Diese Schwachstellen sollten Sie deshalb von vornherein in die Planung Ihrer Cyber Security-Strategie mit einschliessen.
(Rost-)Löcher gibt es auch im Container
Sicherheitslücken und damit verbundene Probleme tauchen aber nicht nur durch Container und deren Images auf, sondern auch durch die Anwendungen, die darin betrieben werden. Auch hier muss darauf geachtet werden, dass Sicherheitslücken möglichst schnell geschlossen und die verschiedenen Container auf den neusten Stand gebracht werden. Da sich Container in hoher Geschwindigkeit einfach skalieren und bereitstellen lassen, können sich auch Sicherheitslücken in Anwendungen sehr schnell im Netzwerk verbreiten. Durch diesen Vorgang entsteht dann nicht nur eine Sicherheitslücke, sondern gleich mehrere.
Vulnerability Management – damit der Container nicht zum Sicherheitsrisiko wird
Die Verwendung von Containern ist also kein Allheilmittel. Da diese über Images bereitgestellt werden, können sich Schwachstellen schnell auf alle Container übertragen, die dasselbe Image und denselben Code nutzen. Wird der Code nicht optimiert und Schwachstellen nicht entfernt, helfen auch zusätzliche Sicherheitstools nicht. Aus diesem Grund spielt die Sicherheit und deren Überwachung bei Containern eine besonders wichtige Rolle. Beim Betreiben einer heterogenen Umgebung, in der Container verschiedener Hersteller und Versionen eingesetzt werden, ist das noch wichtiger.
Container-Sicherheit von unserem Partner Tenable
Security spielt in der Container-Technologie eine zentrale Rolle. Neben einer vernünftigen Planung für erhöhte Sicherheit sollten Sie sich als verantwortliche Person im Unternehmen auch Gedanken über eine Lösung machen, die cloudbasiert für mehr Sicherheit bei Containern sorgen kann. Denn unsichere Container oder Container-Images mit unsicheren Anwendungen können für ein Unternehmen eine enorme Gefahr darstellen.
Die regelmässige Überprüfung von Container-Images ist dabei eine unerlässliche Aufgabe. Zur Überwachung und Verbesserung der Sicherheit gehört allerdings nicht nur die Aktualisierung und Absicherung der Images sowie Container im Zeitraum der Bereitstellung, sondern während des kompletten Lebenszyklus. Hier empfehlen unsere Experten als optimale Lösung «Tenable.io», welche Ihnen zuverlässig hilft, Verwundbarkeiten zu entdecken und zu schliessen.
Wollen Sie erfahren, weshalb Forrester Tenable als führendes Unternehmen für Vulnerability Management ausgezeichnet hat ‒ und wie sich die Markttrends des Schwachstellen-Managements auf Ihr Geschäft auswirken? Dann laden Sie sich die «Forrester ‒ Vendor Landscape: Vulnerability Management, 2017» herunter. Es lohnt sich!
