Von allen IT-Innovationen, die Unternehmen zur Digitalisierung ihrer Betriebsabläufe nutzen, dürfte die Container-Technologie die wohl revolutionärste sein. DevOps-Teams schätzen Container vor allem, weil diese die Geschwindigkeit und Flexibilität bei der Entwicklung und Bereitstellung von Apps erhöhen und sich ideal für Microservices eignen. Laut Gartner werden bis 2020 mehr als 50 Prozent der Unternehmen containerisierte Anwendungen produktiv einsetzen – 2017 waren es noch unter 20 Prozent. Für die Sicherheitsteams bedeutet dies, dass sie den Schutz der Anwendungen priorisieren müssen, die die DevOps-Teams mit dieser Methode zur Betriebssystem-Virtualisierung erstellen.
Wenn es darum geht, die Sicherheit und Compliance von Container-basiertem Code zu gewährleisten, können sich Unternehmen nicht auf herkömmliche Produkte für Anwendungssicherheit verlassen, da vorhandene Tools hier nicht funktionieren. Somit ist es also nicht weiter verwunderlich, dass Unternehmen laut Forrester ‚Sicherheit‘ als die größte Herausforderung beim Einsatz von Containern nennen.
Sicherheitsautomatisierung klingt einfach, es wird allerdings zunehmend schwieriger, die gesamte automatisierte und immer schnellere CI/CD (Continuous-Integration and Delivery)-Pipeline zu kontrollieren. Diesem Problem muss deshalb mit einer umfassenden Sicherheitslösung begegnet werden, die containerisierte Anwendungen von innen heraus überwacht und schützt. Es benötigt also eine Technology, die detaillierte Verhaltensdaten zu den Anwendungen erfasst, dadurch eine hohe Transparenz bietet und außerdem ein normales Anwendungsverhalten erzwingt.
Weshalb Container nutzen?
In Container können Anwendungen und deren Abhängigkeiten ohne Gastbetriebssystem verpackt werden. Damit bieten sie Vorteile gegenüber virtuellen Maschinen: Anwendungen können schneller entwickelt werden, sind leichtgewichtiger, flexibler und lassen sich schneller erzeugen und entfernen. Container verhalten sich ungeachtet der zugrunde liegenden Computerinfrastruktur immer gleich und sind daher sehr portabel. Und da sie viel schlanker sind, können wesentlich mehr Container als VMs in einen Host gepackt werden, was wiederum die Kosten für die Rechenressourcen entsprechend reduziert.
Containersecurity
Die Probleme der Containersicherheit hängen in erster Linie mit mangelnder Übersicht, schlechten Überwachungsmöglichkeiten und fehlender Kontrolle über die Bereitstellung zusammen. Beispielsweise verwenden Container-Entwickler häufig unvalidierte, fehlerhafte Softwarekomponenten aus öffentlichen Repositories und setzen Container mit schwachen Konfigurationen ein. Das führt dazu, dass die entsprechenden Anwendungen sehr anfällig für Hackerangriffe sind.
Zudem kommunizieren Container untereinander über exponierte Netzwerkports, wobei sie hostbasierte Kontrollen umgehen. Aufgrund ihrer Flüchtigkeit sind sie schwer zu verfolgen und zu überwachen. Hinzu kommt, dass sich Container-as-a-Service- (CaaS) und Orchestration-as-a-Service-Angebote wachsender Beliebtheit erfreuen und Unternehmen immer mehr Container-bezogene Aufgaben an eben solche Dienstleister auslagern.
Die Lösung von Qualys
Die Lösung Qualys-Container-Security ermöglicht den Sicherheitsteams, Container in DevOps-Pipelines und Implementierungen jeder Größenordnung kontinuierlich zu erkennen, zu verfolgen und zu schützen.
Das herkömmliche Verfahren der Anwendungssicherheit besteht darin, entweder einen Agenten auf dem Host zu installieren oder den Netzwerkverkehr zu überwachen. Qualys ist jedoch überzeugt, dass sich eine containerisierte Anwendung am besten von innen heraus schützen lässt. Zu diesem Zweck repliziert Qualys die Container-Images und bindet seine Sicherheitslogik in sie ein. Dadurch erhalten die Kunden sehr spezifische Daten über die Anwendung. Alle Aktivitäten einer Anwendung werden erfasst und automatisch ein Verhaltensprofil erstellt.
Dieses Profil wird in detaillierte Sicherheitsrichtlinien übersetzt, die auf der Ebene der einzelnen Container durchgesetzt werden. Auf diese Weise können die Sicherheitsteams Container erkennen, die von ihrem normalen Verhalten abweichen. Die richtlinienbasierte Orchestrierung verhindert auch, dass in Kubernetes-Clustern anfällige Container-Images erzeugt werden. So versetzt die Lösung die Teams in die Lage, Schwachstellen auf der Host- oder Containerebene zu beseitigen und sicherzustellen, dass alle notwendigen Patches installiert sind.
Das Ergebnis: umfassende Sichtbarkeit und Schutz von Anwendungen zur Laufzeit für containerisierte und serverlose „Container-as-a-Service“-Workloads wie AWS-Fargate und Azure-Container-Instances. Dies ist der richtige Weg, um Anwendungen zu überwachen und abzusichern, wenn sich der Infrastruktur-Stack ständig verändert und durch Dienste wie AWS Fargate/Lambda und Azure-Container-Instances/Cloud-Functions verwaltet wird.
Dieser Ansatz ist auch grundsätzlich sicherer als solche, die auf privilegierten und erweiterten Systemfähigkeiten basieren und den privilegierten Security-Containern Zugriff auf und Kontrolle über alle anderen Container geben. Wie die kürzlich gepatchte Kubernetes-Schwachstelle (CVE-2018-1002105) gezeigt hat, kann die Ebene, die der externen und potenziell feindseligen Umgebung ausgesetzt ist, leicht zum Ziel für bösartige Aktivitäten werden, wenn sie Root-Rechte erhält.
Qualys verankert Transparenz und Sicherheit dagegen im Container selbst und kann so alle Aufrufe von Containernetzwerken, Speichern und Anwendungen aus jedem Container heraus überwachen und steuern. Dabei bleiben auch die Portabilität und Agilität von Containern erhalten, da sich die Lösung automatisch mit ihnen bewegt und skaliert.
Von Juan C. Perez, Manager Digital Marketing (Content) bei Qualys
#Netzpalaver #Qualys
