:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Red Hat gibt Praxistipps zu Container-Infrastrukturen So werden Container sicher
Container-Infrastrukturen verbreiten sich rasant. Doch sie haben auch noch Schwachstellen. Eine davon ist die Sicherheit. Red Hat hat dazu einen Leitfaden erstellt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Immer häufiger werden Container-Infrastrukturen eingesetzt: Sie sind agil, flexibel und fordern wenig Platz auf der Infrastruktur. Bei einer aktuellen Trendstudie von Solarwinds etwa lag die Containertechnologie auf Platz 5 der von den Befragten genannten Investitionsschwerpunkte. Und bei der aktuellen OpenStack-Nutzerumfrage (siehe unten) ergab sich, dass immer mehr Provider Bare-Metal-Infrastrukturen mit Kubernetes-Basis implementieren. Kubernetes ist die derzeit am häufigsten genutzte Managementumgebung für Container.
Doch weil die Containertechnologie in der breiten Anwendung noch relativ neu ist, erfordert sie auch neue Mechanismen und Konzepte, zum Beispiel hinsichtlich der Sicherheit. Red Hat, jüngst von IBM aufgekauft, hat sich Gedanken darum gemacht, wie man Container sicherer machen kann und diese Ideen in einem Leitfaden zusammengefasst. Formuliert hat ihn Lars Herrmann, General Manager, Workload Strategy for Cloud Platforms. Red Hat ist der Anbieter der Red hat Open Shift Containerplattform. Die wichtigsten Tipps in Kürze:
1. Vorzugsweise neuere Container-Images nur aus vertrauenswürdigen Quellen einsetzen.
Bei selbst entwickelten Container-Images ist das einfach – bei externen Quellen für Container-Images dagegen ein Glücksspiel. Deshalb sollten die Verantwortlichen sorgfältig prüfen, woher alle genutzten Bausteine und Libraries kommen:
- Ist die Quelle vertrauenswürdig?
- Ist sie schon mal unangenehm aufgefallen?
- Wird sie gar in einschlägigen Verzeichnissen erwähnt?
Red Hat beispielsweise bietet einen Container Health Index an, der die Angebote von Softwareherstellern bewertet - unter anderem gemessen an ihrem Alter und den Auswirkungen der in einem Container verwendeten Sicherheits-Patches. Das Alter spielt eine wichtige Rolle, da ältere Images oft unsicherer sind, weil Sicherheitspatches häufig nur unregelmäßig eingespielt werden. Hier empfiehlt sich der Griff zu neueren Images.
2. Container nach dem Multi-Tenant-Modell voneinander isolieren.
Die Container sollten auf dem Host nach dem Multi-Tenant-Prinzip so voneinander getrennt werden, dass sie nicht auf die Ressourcen anderer Container zugreifen können. Auch die Ressourcen des Hosts selbst sind einem Container bei Multi-Tenant-Implementierung nicht zugänglich. Um die Multi-Tenant-Isolierung zu realisieren, gibt es in Linux grundlegende Sicherheitstechnologien. Beispiele sind Container-Runtime-Mechanismen wie Seccomp, Namespaces oder SELinux.
3. Eine Rollen- und Rechteverwaltung auf Ebene der Container-Plattform einrichten.
Von Anfang an sollte eine in die Containermanagement-Lösung eingebettete Rollen- und Rechteverwaltung eingerichtet werden. Hier definiert ein Administrator erstens, welche Rollen welche Aktivitäten mit einem Container durchführen dürfen und legt zweitens fest, welche Aktionen ein Container ausführen darf.
Normalerweise gibt es spezielle Rollen für Entwickler, Architekten oder Applikationsverantwortliche – Personen, die nicht eine dieser Aufgaben erfüllen, haben dann keinen Zugriff. Zusätzlich sind auch andere Verfahren möglich. Beispiele sind die Authentifizierung mittels einer im Unternehmen bereits vorhandenen LDAP-Lösung, die Isolierung von Entwicklungs-, Test- und Produktivumgebungen und die Netzwerksegmentierung.
4. Sicherheit von Anfang an und von Ende zu Ende.
Erstellen Entwickler Container-Applikationen, müssen sie von Anfang an nach dem Security-by Design-Prinzip vorgehen: Applikationen dürfen mit einer hohen Wahrscheinlichkeit keine Sicherheitsschwachstellen aufweisen. Container-spezifische Verfahren, und ergänzend Security-Tools ermöglichen eine hohe Container-Sicherheit – aber nur, wenn die Sicherheit von Anfang an und von Ende zu Ende implementiert wird. Dazu gehört eine Überwachung des Informationsflusses auf allen drei Ebenen einer Container-Umgebung: Container-Images, Container-Hosts und Container-Plattform.
Artikelfiles und Artikellinks
Link: Open Stack Nutzerstudie
(ID:45668149)
![Marie Innes: „Mit einem [...] holistischen Ansatz, der die Supply Chain Security in den Mittelpunkt stellt, ist ein Unternehmen bestens für die Container-Nutzung gerüstet.“ (Bild: Red Hat)](https://cdn1.vogel.de/iSNX769w1PwqU9CpT3WxZmH8QM0=/392x392/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/8f/b1/8fb15924728ac426eb7c17cad3fa22c4/0106973381.jpeg "Marie Innes: „Mit einem [...] holistischen Ansatz, der die Supply Chain Security in den Mittelpunkt stellt, ist ein Unternehmen bestens für die Container-Nutzung gerüstet.“ (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/9a/80/9a80196ff0154157a8c7f25c3c1d2c6e/0108012087.jpeg "Die über Mutual TLS realisierten Maschinenidentitäten sind zwar praktisch für Unternehmen, doch es gibt auch einige Bedenken hinsichtlich der Sicherheit. (Bild: Gerd Altmann (geralt))")