:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ohne Schutz sind auch Container angreifbar Container-Sicherheit mit Anchore und Clair
Immer mehr Unternehmen setzen auf die Container-Technologie. Aus diesem Grund sind auch Lösungen notwendig, mit denen man die Sicherheit der Container und darin installierten Anwendungen sicherstellen kann. Wir zeigen wie man mit den Spezial-Tools Clair und Anchore und weiteren Schritten Container sicher machen kann.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Bei Clair und Anchore handelt es sich um spezielle Anwendungen, mit denen die Sicherheit von Container-Umgebungen verbessert werden kann. Allerdings reicht der Einsatz der Lösungen nicht aus, um Container sicher zu betreiben. Es sind weitere Vorgehensweisen notwendig, um sicherzustellen, dass Netzwerke mit Containern sicher betrieben werden können.
:quality(80)/images.vogel.de/vogelonline/bdb/1596300/1596347/original.jpg "Die Container-Funktion ist auch in Windows schnell installiert, muss aber vor Sicherheitsgefahren abgesichert werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1596300/1596348/original.jpg "Die Bereitstellung von Containern wird meistens über Docker durchgeführt, auch auf Windows-Servern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1596300/1596349/original.jpg "Container-Images lassen sich aus verschiedenen Quellen aus dem Internet herunterladen, sollten anschließend aber nach Sicherheitslücken untersucht werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1596300/1596350/original.jpg "Auch Microsoft bietet Docker-Images an, die sich im Netzwerk integrieren lassen. Auch diese müssen nach Sicherheitslücken untersucht werden.")
Sicherheit mit der richtigen Vorgehensweise erreichen
Um die Sicherheit von Containern zu gewährleisten müssen Unternehmen eine Strategie entwickeln. Zunächst sollte sichergestellt sein, dass die Images, auf deren Basis Container erstellt werden, nur aus vertrauenswürdigen Quellen stammen. Hier bietet es sich an einen eigenen Pool anzulegen. Außerdem sollten Container möglichst wenige, unnötige Erweiterungen nutzen. Container-Images, die über öffentliche Quellen zur Verfügung gestellt werden, also zum Beispiel über den Docker-Hub, werden nicht sehr oft aktualisiert und auch Sicherheitslücken werden selten geschlossen. Daher kann es beim Einsatz solcher Container-Images zu Problemen kommen.
Wird in einem Container eine Shell installiert, können Angreifer aus dem Netzwerk oder Internet über diese Shell einen Angriff auf den Container starten. Es ist also wichtig, dass die generelle Sicherheit von Containern berücksichtigt wird, bevor Sicherheitstools diese noch verbessern.
Natürlich sollten Container-Verwaltungstools wie Kubernetes zum Einsatz kommen, inklusive der darin verfügbaren Sicherheitsfunktionen, um die Container-Infrastruktur zu verbessern.
Umgang mit Daten in Containern
Für eine verbesserte Sicherheit für den Umgang mit Containern spielt es auch eine wichtige Rolle, dass möglichst keine Daten in einem Container gespeichert werden. Container sollten schnell und einfach wiederherstellbar sein, ohne zuvor Daten auf den Containern sichern zu müssen. Persistente Daten werden also im Netzwerk in dafür vorgesehenen Datenspeichern abgelegt und gesichert. Container greifen nur auf diese Daten zu. Dabei darf es keine Rolle spielen, ob ein Container neu installiert wird.
:quality(80)/images.vogel.de/vogelonline/bdb/1577600/1577695/original.jpg "Container-Umgebungen gelten gemeinhin als sicher, lassen sich aber mitunter dennoch kompromittieren. (realworkhard - Pixabay.com)")
Container und Microservices absichern
5 Tipps für mehr Sicherheit in DevOps-Umgebungen
Image-Scanner nutzen - Anchore und Clair
Wenn die Sicherheit der Container-Infrastruktur gewährleistet ist, kann mit zusätzlichen Tools, wie Anchore und Clair ein Scan der Images und der Container durchgeführt werden. Solche Scanner laden regelmäßig aktuelle CVE-Security-Feeds. Zusätzlich können die Scanner Paketkomponenten und die Container-Dateisystemstruktur lesen und scannen. Die Tools werden also vor allem dann eingesetzt, wenn unbekannte Container-Images eingesetzt werden müssen.
CoreOS Clair und Anchore sind beide Tools, die den gleichen Aufgabenbereich abdecken: Sie scannen Container und Containerimages nach Malware und Sicherheitslücken. Clair ist ein Open Source-Projekt zur Analyse von Schwachstellen in Container-Images. Das Tool sammelt Daten von Schwachstellen und speichert sie in seiner Datenbank. Erkennt Clair in einem Container-Image eine Schwachstelle, kann die Software Warnmeldungen und Berichte versenden, oder Implementierungen in Produktionsumgebungen blockieren. Clair arbeitet in diesem Bereich auch eng mit Kubernetes zusammen. Um Container-Images mit Clair zu scannen, ist es nicht notwendig, dass ein Container erstellt wird, der das Image nutzt. Clair greift direkt auf das Image zu.
:quality(80)/images.vogel.de/vogelonline/bdb/1535800/1535894/original.jpg "Containerlösungen sollten unbedingt in die Cloud-Sicherheitsstrategie mit einbezogen werden. (© leowolfert - stock.adobe.com)")
Container müssen Teil der Cloud-Strategie sein
Die vernachlässigte Lücke in der Container-Sicherheit
Darum kann der Einsatz von Anchore Sinn machen
Anchore bietet zusätzlich eine anpassbare Policy Enforcement Engine. Diese lässt sich an die eigenen Anforderungen im Unternehmen anpassen. Wenn Unternehmen spezifische Compliance-Anforderungen erfüllen müssen, sollte der Einsatz von Tools wie Anchore geprüft werden. Auch für interne Sicherheits- und Richtlinienanforderungen kann es sinnvoll sein, parallel zum Sicherheitsscan von Images auch mit Richtlinien zu arbeiten. Anchore arbeitet also mehr als eine Liste von Schwachstellen ab (CVE), sondern kann parallel mit Richtlinien die Umgebung absichern. Der parallele Einsatz von Clair und Anchore ist also durchaus sinnvoll.
Wollen Unternehmen anpassbare Richtlinien erstellen, um spezifische Compliance-Anforderungen zu erfüllen, führt kaum ein Weg um Anchore herum. Die Lösung geht über das Scannen von Schwachstellen hinaus, und erweitert deutlich die Sicherheitsfunktionen für Container im Netzwerk. Fehlkonfigurationen, Best Practices für Compliance und andere Bereiche lassen sich durch Anchore abdecken. Dazu arbeitet Anchore auch mit Node, Ruby, Java und Python zusammen und bietet Administratoren und Entwicklern verwertbare Ergebnisse aus einer Policy-Engine, mit der CI-Builds blockiert, Berichte generiert oder über Webhook-Benachrichtigungen versendet werden können.
Die Enterprise-Version von Anchore bietet einen GUI-Client, RBAC, einen lokalen Datenfeed-Aggregationsdienst, Schwachstellendaten aus verschiedenen Quellen, erweiterte Berichte und Support auf Unternehmensebene.
Einstieg in die Container-Sicherheit mit CentOS Clair
Der Einstieg in das Scannen von Container-Images wird meistens über CentOS Clair vorgenommen. Clair lässt sich nicht nur lokal betreiben, sondern unterstützt auch die Bereitstellung in der Cloud. Auch in AWS oder Microsoft Azure werden Container eingesetzt, deren Images überprüft werden müssen. Clair nutzt PostgreSQL als Datenbank. Hier werden die Daten der Sicherheitslücken gespeichert, nach denen Clair in den Images sucht, die an die Umgebung angebunden werden. In AWS kann Clair zum Beispiel über die AWS CLI angebunden werden. Die Befehle dazu lauten:
git clone https://github.com/aws-samples/aws-codepipeline-docker-vulnerability-scan.gitcd aws-codepipeline-docker-vulnerability-scanClair selbst kann in einem Container betrieben werden. Das entsprechende Image lässt sich in einer Docker-Umgebung zum Beispiel mit dem folgenden Befehl integrieren:
docker pull quay.io/coreos/clair(ID:46050972)
:quality(80)/images.vogel.de/vogelonline/bdb/1881500/1881520/original.jpg "Palo Alto erhöht mit neuen Funktionen der Cloud-Lösung Prisma die Sicherheit für Container. (issaronow - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945940/original.jpg "Snyk weitet seine Sicherheitsstrategie auf End-to-End-Containerschutz und Cloud-Sicherheit aus. (Snyk)")