:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risiken einer virtuellen Infrastruktur Achtung: Container haben Security-Lücken!
Container-Frameworks vereinfachen und beschleunigen die Anwendungsbereitstellung, indem sie Betriebssystem-Komponenten, Anwendungen und alle Abhängigkeiten in Schichten innerhalb eines Container-Images bündeln. Container erlauben eine agilere Gestaltung von Prozessen und Services, doch sie sind auch dem Risiko gezielter Angriffe ausgesetzt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Container-Technologien ebnen den Weg von physischen, einzeln genutzten IT-Ressourcen hin zu effizienteren, virtuellen Multitenant-Infrastrukturen, die in traditionellen IT-Umgebungen sowie in der Cloud ausgeführt werden können. Denn mit Containern und den korrespondierenden Tools lassen sich Prozesse und Services im Unternehmen deutlich agiler anlegen. Das heißt, Anwendungen und Microservices können leichter programmiert, getestet, ausgerollt und administriert werden. Gleichzeitig sind Container flexibler, skalierbarer und ressourceneffizienter als zum Beispiel virtuelle Maschinen (VM).
:quality(80)/images.vogel.de/vogelonline/bdb/1651800/1651888/original.jpg "EIne Schwachstelle in früheren Docker-versionen erlaubt es, die Root-Kontrolle über den Host und alle anderen Container darin übernehmen. (Palo Alto Networks)")
Unit 42 warnt vor Root-Betrieb von Containern
Anfällige Copy-Funktion von Docker
Welche Gefahren bergen Container?
Doch je erfolgreicher Container im Unternehmenseinsatz werden, desto größer wird das Risiko durch gezielte Angriffe. Gefahren lauern sowohl während der Entwicklung, als auch bei der Integration und Bereitstellung sowie im laufenden Betrieb.
Diese Risikoquellen beziehen sich auf die Container selbst, die verwendeten Orchestrierungs-Tools wie Kubernetes und die Infrastruktur. Dabei sind folgende konkrete Sicherheitsprobleme zu beachten:
- Manipulierte Container, die Malware herunterladen oder interne Systeme nach Schwachstellen und sensiblen Daten auskundschaften.
- DDoS-Attacken auf Anwendungsebene und Cross-Site-Scripting(XSS)-Angriffe.
- Container-Breakouts, um auf andere Container, Host-Systeme oder Rechenzentren zuzugreifen.
- Container werden dazu gezwungen, extrem viele Systemressourcen zu verbrauchen und die Leistung anderer Container zu reduzieren oder einen Crash zu erzielen.
- Live-Patches für Anwendungen, um schädliche Prozesse zu etablieren.
- Lücken in Kommunikationsprotokollen, die auch mit Containern verwendet werden.
- Schwachstellen in der Verwaltungssoftware Kubernetes.
:quality(80)/images.vogel.de/vogelonline/bdb/1596300/1596354/original.jpg "Um die Sicherheit von Containern zu gewährleisten müssen Unternehmen eine Strategie entwickeln und die richtigen Tools einsetzen. (gemeinfrei)")
Ohne Schutz sind auch Container angreifbar
Container-Sicherheit mit Anchore und Clair
Was tun?
Zur Absicherung gegen diese genannten Gefahren, sollte sich die IT-Abteilung von drei verschiedenen Ansätzen, die sich nach den einzelnen Phasen der Implementierung orientieren, leiten lassen: Einrichtung, Bereitstellung und Einsatz.
In der Einrichtungsphase
Fokussierung auf die Beseitigung von Schwachstellen, Malware und unsicherem Code bei der Software-Entwicklung. Dafür ist es für IT-Abteilungen angezeigt, ein offizielles Container-Register einzurichten. Mit dieser Container-Registry sollen dann vertrauenswürdige Images erstellt werden.
Auf diese Weise wird ein Prozess etabliert und automatisiert, der verhindert, dass Container aus einer nicht vertrauenswürdigen Registry entstehen. Autoren können zum Beispiel mit „Docker Content Trust“ ihre hochgeladenen Images signieren. Beim Download verifiziert die lokale Docker-Installation des Users die Signatur und prüft, ob das Image aktuell ist und nicht korrumpiert wurde.
Darüber hinaus sollte sich die IT-Abteilung in dieser Phase folgende Fragen stellen: Werden alle Runtime- und Betriebssystem-Schichten des Containers aktualisiert? Wie oft werden die Container aktualisiert? Werden bekannte Risikoquellen überwacht?
In der Bereitstellungsphase
In dieser Phase erfolgt die Zusammenstellung der Container. Dabei soll beachtet werden, dass Images, die zwar kein Gefahrenpotenzial aufweisen, aber in einem unsicher konfigurierten Kubernetes-Pod deployt werden, eine Schwachstelle bleiben.
Wobei ein Pod meist aus einer Gruppe mehrerer Container mit gemeinsamem Speicher, Netzwerk sowie einem Regelwerk, wie die Container ausgeführt werden, besteht. Bei der Konfiguration müssen für die Orchestrierung und Container-Engine Sicherheits-Standards erstellt und realisiert werden. Dazu können zum Beispiel die Benchmarks für Docker und Kubernetes des Center for Internet Security (CIS) herangezogen werden.
Auf diese Weise lässt sich der Zugriff von außen steuern oder verhindern. Experten raten zu einer privaten Registry, um den Zugriff auf die Images, die im Einsatz sind, zu administrieren. In diese Registry dürfen nur geprüfte Images Einzug erhalten. Der Zugang wird über rollenbasierte Zuweisungen reguliert.
Darüber hinaus sollte sich die IT-Abteilung in dieser Phase folgende Fragen stellen: Welche rollenbasierten Kontrollen können für die Administration von Container-Images zum Einsatz kommen? Können Images über Tagging- oder Kennzeichnungsfunktionen gruppiert werden? Lassen sich Images jeweils einzeln für Entwicklung, Prüfung und Produktion als validiert markieren? Leistet die Registry ausreichend Meta-Daten, um bekannte Schwachstellen zu identifizieren? Erlaubt es die Zugriffsverwaltung, Richtlinien zuzuordnen und zu automatisieren, um zum Beispiel Signaturen zu evaluieren oder Scans zu codieren?
In der Einsatzphase
Nicht nur in den vorbereitenden Phasen, sondern auch während der Laufzeit müssen neue Gefahrenquellen und Lücken in den Containern entdeckt werden. Dazu zählen beispielsweise ungewöhnliche Aktivitäten, die auf eine Zero-Day-Schwachstelle hinweisen. Zu diesem Zweck muss ein Normalzustand definiert und Abweichungen dazu festgestellt werden.
Insgesamt gestaltet sich die Sicherheit in der Einsatzphase als weniger problematisch. Werden Security-Probleme erst während des Betriebs entdeckt und behoben, ist die Wahrscheinlichkeit groß, dass sie immer wieder auftreten, weil die Probleme bereits im erstellten Image liegen.
Es sollten stets Richtlinien beachtet werden, die im Ernstfall automatisch Rebuilds der Container veranlassen. Denn es ist meist effizienter, einen Container neu zu bauen als ihn patchen zu müssen.
Darüber hinaus sollte sich die IT-Abteilung in dieser Phase folgende Fragen stellen: Existieren Tools zur Komponentenanalyse, die Probleme erkennen können? Ist es möglich, Werkzeuge zu entwickeln, die eine automatische richtlinienbasierte Implementierung gewährleisten? Wie lässt sich ein Patching erstellter Container umgehen, um Container per automatische Updates neu zu erstellen?
:quality(80)/images.vogel.de/vogelonline/bdb/1248600/1248634/original.jpg "Die Implementierung von Sicherheit für Container unterscheidet sich von existierenden Techniken nicht sehr. Viele existierende Tools sind einsetzbar und durch einige spezifische Techniken kann eine hohe Container-Sicherheit erreicht werden. (Rawf8 - stock.adobe.com)")
Anforderungen an Container Security
Container-Sicherheit braucht passende Tools
Infrastruktur
Eine weitere Angriffsfläche bietet die zugrundeliegende Infrastruktur. Zu diesem Zweck muss die vom Host-Betriebssystem bereitgestellte Isolierung gecheckt werden. Um Zugriffe über andere Container oder Breakouts abzuwehren, muss das System eine maximale Container-Trennung aufweisen.
Für eine optimierte Stabilität der Container-Plattform empfiehlt sich der Einsatz von Namespaces. Dadurch werden Anwendungen und Umgebungen getrennt bez. verschiedene virtuelle Instanzen eines Hosts und eines Kernels definiert und getrennt nutzbar.
(ID:46323868)
:quality(80)/images.vogel.de/vogelonline/bdb/1942500/1942511/original.jpg "Die Container Runtime Protection von VMware setzt bereits beim Versändnis der Architektur an und zieht sich durch bis zur Analyse containersierter Anwendungen. (VMware)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945940/original.jpg "Snyk weitet seine Sicherheitsstrategie auf End-to-End-Containerschutz und Cloud-Sicherheit aus. (Snyk)")